FIDO2 nous aide à oublier enfin nos mots de passe

La gestion d’innombrables mots de passe est trop pénible pour la plupart des utilisateurs, qui finissent par les noter ou par les réutiliser encore et encore. Maintenant, on promet (une fois de plus) de remédier à cela. FIDO, abréviation pour « Fast Identity Online », est synonyme d’une technologie plus sûre – et censée être plus pratique. Google, Microsoft et Apple ont annoncé vouloir soutenir le nouveau standard de manière étendue sur leurs plateformes.

  #Security Awareness   #Security Risk Assessment  

Dans 30 pays, « password » est le mot de passe le plus populaire et le plus utilisé, suivi de près par « 123456 ». À la troisième place se trouve « 123456789 » – probablement en raison des exigences liées à la longueur du mot de passe[i]. Un pirate informatique arrive en moins d’une seconde à « cracker » ce genre de mots de passe. La sécurité de nombreux appareils et comptes est donc en piètre état, malgré les gestionnaires de mots de passe et l’authentification à deux facteurs (2FA) existants[ii]. Le manque de sécurité des données peut entraîner beaucoup de problèmes et des coûts élevés, voire, dans le pire des cas, des vols d’identités. Dans une entreprise, de telles pratiques liées aux mots de passe peuvent entraîner des conséquences dévastatrices.

 

Nouveau standard sans mot de passe

Ce sont des entreprises mondialement connues qui font partie de la FIDO Alliance, fondée il y a dix ans[iii] : Lenovo, Samsung, Microsoft, Apple, Google, PayPal, eBay, Red Hat, Huawei et Sony ne sont que quelques-unes des entreprises qui se sont associées pour développer des technologies de connexion pratiques et sûres. FIDO2 est le résultat le plus récent de ces efforts.

Le processus d’authentification FIDO2 permet une connexion sans mot de passe et protège ainsi contre les attaques en ligne courantes, telles que l’hameçonnage (phishing) et les attaques de l’homme du milieu (man-in-the-middle)[iv]. Fido2 fonctionne avec une clé privée et une clé publique. Les deux sont des chaînes cryptographiques générées par des processus mathématiques pour valider l’identité de l’utilisateur. La clé publique est stockée par le service, tandis que la clé secrète est enregistrée dans l’appareil de l’utilisateur. Lors du login, l’appareil crée, à l’aide de la clé secrète, une signature numérique dont l’authenticité peut être vérifiée par la clé publique.
La clé privée n’est jamais envoyée, mais reste toujours sur l’appareil de l’utilisateur (et ne peut, par conséquent, pas être interceptée comme un mot de passe).

 

Engagement minimal requis du côté des utilisateurs

Toutefois, sans un certain engagement minimal du côté des utilisateurs, FIDO2 ne fonctionne pas non plus. Les utilisateurs doivent s’inscrire pour bénéficier de ce service :

  • Ils doivent remplir un formulaire d’inscription et choisir une clé de sécurité FIDO2.
  • Ensuite, le service génère une paire de clés d’authentification FIDO2.
  • L’appareil FIDO2 de l’utilisateur envoie la clé publique au compte correspondant, tandis que la clé privée avec les informations sensibles reste sur l’appareil utilisé.
  • Dès que le chemin de communication sécurisée est activé, les données d’inscription sont durablement stockées, afin que l’utilisateur puisse encore et toujours se reconnecter ultérieurement.

Une fois inscrit, il peut se connecter de manière peu compliquée et sûre – et n’a plus besoin de mot de passe. Dès que la demande est signée avec la clé FIDO2, l’accès au compte correspondant est déverrouillé.

 

Participation des plus grands

Microsoft, Google et Apple ont maintenant annoncé qu’ils allaient étendre le standard commun aux connexions sans mot de passe sur leurs plateformes[v]. Les trois entreprises furent déjà aux commandes lors du développement de la gamme étendue des fonctionnalités de FIDO2, et leurs plateformes soutiennent dès lors les standards de la FIDO Alliance. (Windows Hello de Microsoft est certifié FIDO depuis 2019 déjà[vi], et Google, qui applique l’authentification FIDO aussi bien pour ses collaborateurs que pour ses utilisateurs, dit que depuis l’application de clés de sécurité FIDO, aucune attaque d’hameçonnage contre des collaborateurs Google n’a abouti.)

Les implémentations précédentes exigent que les utilisateurs se connectent avec chaque appareil sur chaque site Web ou dans chaque application avant de pouvoir utiliser la fonction sans mot de passe. Désormais, deux nouvelles fonctionnalités sont censées simplifier encore plus la connexion sans mot de passe : l’accès automatique aux données de connexion FIDO depuis plusieurs appareils, y compris depuis de nouveaux dispositifs, sans qu’une nouvelle inscription ne soit requise pour chaque appareil ; et la possibilité de se connecter à une application ou à un site Web sur son appareil mobile ou un appareil à proximité à l’aide de l’authentification FIDO, indépendamment du système d’exploitation ou du navigateur. Ces nouvelles fonctionnalités devraient être disponibles au cours de l’année prochaine sur les plateformes d’Apple, de Google et de Microsoft.

 

UMB : rendre le monde numérique plus sûr

L’intégration de FIDO2 dans les processus d’authentification et la connexion sans mot de passe constituent une étape importante pour rendre la communication plus sûre dans un monde numérique de plus en plus complexe. UMB est en mesure de vous fournir un soutien complet en matière de sécurité de l’identité et de gestion des accès, y compris l’authentification à deux facteurs, l’authentification multifactorielle, l’accès conditionnel, la protection des identités et la gestion des accès privilégiés.

Et grâce aux services de cybersécurité modulaires, UMB crée également une protection permanente contre les cyberattaques dans tous les autres domaines[vii]. Chez UMB, la cybersécurité n’est pas considérée de manière isolée, mais comme partie intégrante des concepts IT, Workplace et de numérisation, car seules des mesures organisationnelles et techniques équilibrées protègent votre entreprise de manière efficace et globale. C’est pourquoi il faut introduire de nouvelles dimensions de sécurité qui complètent la prévention classique (protection du réseau et du périmètre). Ainsi, nous créons non seulement de la sécurité, mais aussi du temps pour vous – que vous pouvez, par exemple, consacrer à vos activités clés. N’hésitez pas à nous contacter pour de plus amples informations.

 

[i]Top 200 des mots de passe les plus utilisés 2022 | NordPass

[ii]Gestion de l’identité: ce que vous savez. Ce que vous avez. Ce que vous êtes. (umb.ch)

[iii]FIDO Alliance Member Companies & Organizations

[iv]Attaque de l’homme du milieu

[v]Apple, Google, and Microsoft commit to expanded support for FIDO standard

[vi]Windows Hello FIDO2 certification gets you closer to passwordless

[vii]UMB Cyber Security: la nouvelle dimension de la sécurité