Ah, les mots de passe. Un sujet qui fâche. Parce qu’autant tout le monde comprend leur importance, et la nécessité de les rendre aussi complexes que possible pour s’assurer des connexions sécurisées sur Internet, autant tout le monde s’accordera aussi à dire qu’ils sont tout de même bien pénibles. À moins d’avoir une mémoire photographique, c’est tout simplement impossible de se souvenir de tous ses mots de passe. Aussi se retrouve-t-on régulièrement à devoir les réinitialiser, avec différentes contraintes qui rendent la tâche toujours plus compliquée : un nombre de caractères minimum, l’utilisation de lettres majuscules et minuscules, de chiffres et de symboles aussi… Ajouté à cela le fait qu’il est formellement déconseillé d’utiliser le même mot de passe pour tous ses comptes, ou encore de les noter sur un bout de papier, c’est peu dire qu’il devient difficile de suivre toutes les recommandations en matière de cybersécurité !

Heureusement, les acteurs du numérique continuent de plancher sur les meilleures solutions pour nous protéger des vilains hackers. C’est ainsi que l’on a pu voir apparaître les gestionnaires de mots de passe notamment, pour nous soulager de ce fardeau tout en assurant des combinaisons incraquables, ou encore plus récemment les systèmes d’authentification à deux facteurs, comme une double vérification qui exige de renseigner un code reçu généralement sur smartphone, en plus des identifiants. Or si elles valent bien mieux qu’un simple mot de passe de type "123456", "azerty" ou encore "doudou" parmi les plus utilisés en France encore aujourd’hui, ces méthodes ne sont pas non plus infaillibles. Et si la meilleure solution, ce ne serait finalement pas d’abandonner les mots de passe, purement et simplement ?

Apple, Google et Microsoft à l'unisson pour faciliter l’arrivée de l’authentification sans mot de passe

Trop beau pour être vrai ? Eh bien détrompez-vous ! Ce rêve, les géants du secteur numérique le partagent avec vous, et il semblerait qu’il soit bien parti pour devenir une réalité… Dans un communiqué partagé le 5 mai dernier, Google a affirmé non sans fierté avoir "préparé la voie pour un futur sans mot de passe depuis plus d’une décennie". Il faut en effet savoir que la firme de Mountain View s’était alliée à Yubico, une société spécialisée dans l’authentification, pour développer une nouvelle norme de connexion baptisée FIDO, un acronyme pour Fast Identity Online, que l'on peut traduire par "identification rapide en ligne". L’idée a depuis fait son chemin dans le secteur, pour devenir un effort collaboratif propulsé par les consortiums FIDO Alliance et W3C (World Wide Web Consortium). Et s’il aura fallu du temps, il semblerait que le projet pour un nouveau standard d’authentification sur Internet soit enfin prêt à porter ses fruits.

C’est à l’occasion de la journée mondiale du mot de passe, célébrée jeudi dernier, que la FIDO Alliance a en effet annoncé une grande nouvelle : les trois géants du numérique que sont Apple, Google et Microsoft s’engagent à prendre en charge la nouvelle norme FIDO dans leurs systèmes d’exploitation et navigateurs respectifs. On parle d’iOS, macOS et Safari pour la firme de Cupertino, d’Android et de Chrome du côté de la firme de Mountain View, d’Edge et de Windows en ce qui concerne la firme de Redmond. Soit les plus importantes plateformes numériques au monde, que ce soit sur mobile ou sur ordinateur. De quoi permettre d’accélérer considérablement l’adoption du nouveau standard d’authentification, cet effort conjoint rendant la connexion sans mot de passe possible depuis (presque) n’importe quel appareil. Et la bonne nouvelle, c’est qu’on ne devrait plus avoir à attendre trop longtemps pour voir cette norme FIDO devenir virtuellement universelle : Apple, Google et Microsoft promettent de la rendre accessible aux développeurs de sites web et d’application "au cours de l’année prochaine" sur leurs plateformes respectives.

L’authentification sans mot de passe, comment ça marche ?

Pour pouvoir mettre fin aux mots de passe, les géants du numérique ont tout misé sur les smartphones. Partant certainement du principe qu’on ne se déplace plus sans ces précieux appareils, la norme FIDO s’appuie sur ceux-ci pour en faire en quelque sorte des clés virtuelles. Que ce soit depuis un mobile ou un ordinateur, dès lors qu’il faudra se connecter à un compte sur Internet, c’est le smartphone de l’utilisateur qui permettra l’accès, communiquant directement avec le service en question par cryptographie via ce que l’on appelle des "passkeys". Pour ce faire, du côté de l’utilisateur, il suffira simplement de le déverrouiller, soit par code PIN, lecture d’empreinte, reconnaissance faciale ou encore le tracé d’un motif. Un système d’authentification qui n’aura ainsi jamais été aussi simple, et en même temps jamais aussi sécurisé.

"Cette nouvelle approche protège efficacement contre le phishing (hameçonnage) et renforce de manière radicale la sécurité des connexions par rapport à celle offerte par les mots de passe ou les anciennes technologies multifactorielles telles que les codes d’accès à usage unique envoyés par SMS", assurent en effet Apple, Google et Microsoft dans leur communiqué commun. D’accord, mais là vous vous demandez peut-être ce qu’il en sera si jamais vous égarez votre précieux smartphone ? Eh bien pas de panique, cette éventualité a bien évidemment été prise en compte. "Même si vous perdez votre smartphone, vos passkeys seront synchronisées en toute sécurité sur votre nouveau smartphone depuis le système de sauvegarde dans le cloud", précise en effet Google dans son propre communiqué.

Aurait-on donc enfin trouvé la solution miracle ? Il va falloir encore patienter un peu avant de voir ce qu’il en est, sachant nul doute qu’il faudra compter un certain temps de transition. Mais en tout cas, au vu des engagements et même de l’enthousiasme du trio Apple, Google et Microsoft, c’est effectivement un bel avenir sans mot de passe qui semble se dessiner à l’horizon. Et on n’en demandait pas tant.

Sources : Apple, Google, 01 Net, The Verge, Comment ça marche ?