Gerty Images
Pendant des années, Big Tech a insisté sur le fait que la mort du mot de passe est imminente. Pendant des années, ces assurances n’ont été que de vaines promesses. Les alternatives de mot de passe, telles que les push, les authentifications uniques OAUTH et les modules de plate-forme de confiance, ont introduit autant de problèmes d’utilisabilité et de sécurité qu’ils n’en ont résolus. Mais maintenant, nous sommes enfin sur le point de trouver une alternative de mot de passe qui va réellement fonctionner.
La nouvelle alternative est connue sous le nom de clés de sécurité. De manière générique, les clés de passe font référence à divers schémas de stockage des informations d’authentification dans le matériel, un concept qui existe depuis plus d’une décennie. Ce qui est différent maintenant, c’est que Microsoft, Apple, Google et un consortium d’autres sociétés se sont unifiés autour d’une seule norme de clé de passe dirigée par l’Alliance FIDO. Non seulement les clés d’accès sont plus faciles à utiliser pour la plupart des gens que les mots de passe ; ils sont également totalement résistants au phishing d’informations d’identification, au bourrage d’informations d’identification et aux attaques similaires de prise de contrôle de compte.
Lundi, PayPal a déclaré que les utilisateurs basés aux États-Unis auraient bientôt la possibilité de se connecter à l’aide de clés d’accès basées sur FIDO, rejoignant ainsi Kayak, eBay, Best Buy, CardPointers et WordPress en tant que services en ligne offrant l’alternative au mot de passe. Ces derniers mois, Microsoft, Apple et Google ont tous mis à jour leurs systèmes d’exploitation et leurs applications pour activer les clés de sécurité. La prise en charge des clés de passe est toujours inégale. Les clés stockées sur iOS ou macOS fonctionneront sur Windows, par exemple, mais l’inverse n’est pas encore disponible. Dans les mois à venir, tout cela devrait cependant être aplani.
Quoi exactement, sommes passe-partout ?
Alliance FIDO
Les clés de sécurité fonctionnent presque de la même manière que les authentificateurs FIDO qui nous permettent d’utiliser nos téléphones, ordinateurs portables, ordinateurs et clés de sécurité Yubico ou Feitian pour l’authentification multifacteur. Tout comme les authentificateurs FIDO stockés sur ces appareils MFA, les clés d’accès sont invisibles et s’intègrent à Face ID, Windows Hello ou à d’autres lecteurs biométriques proposés par les fabricants d’appareils. Il n’y a aucun moyen de récupérer les secrets cryptographiques stockés dans les authentificateurs à moins de démonter physiquement l’appareil ou de le soumettre à une attaque de jailbreak ou d’enracinement.
Même si un adversaire était en mesure d’extraire le secret cryptographique, il devrait toujours fournir l’empreinte digitale, le scan facial ou, en l’absence de capacités biométriques, le code PIN associé au jeton. De plus, les jetons matériels utilisent le flux d’authentification inter-appareils de FIDO, ou CTAP, qui s’appuie sur Bluetooth Low Energy pour vérifier que l’appareil d’authentification se trouve à proximité physique de l’appareil qui tente de se connecter.
Jusqu’à présent, les clés de sécurité basées sur FIDO ont été principalement utilisées pour fournir une authentification MFA, abréviation d’authentification multifacteur, qui oblige quelqu’un à présenter un facteur d’authentification distinct en plus du mot de passe correct. Les facteurs supplémentaires offerts par FIDO se présentent généralement sous la forme de quelque chose que l’utilisateur possède – un smartphone ou un ordinateur contenant le jeton matériel – et quelque chose que l’utilisateur est – une empreinte digitale, un scan facial ou une autre biométrie qui ne quitte jamais l’appareil.
Jusqu’à présent, les attaques contre les MFA conformes à FIDO ont été rares. Une campagne avancée de phishing d’informations d’identification qui a récemment percé Twilio et d’autres sociétés de sécurité de premier plan, par exemple, a échoué contre Cloudflare pour une raison : contrairement aux autres cibles, Cloudflare a utilisé des jetons matériels compatibles FIDO qui étaient immunisés contre la technique de phishing utilisée par les attaquants. Les victimes qui ont été violées se sont toutes appuyées sur des formes plus faibles d’AMF.
Mais alors que les jetons matériels peuvent fournir un ou plusieurs facteurs d’authentification en plus d’un mot de passe, les clés d’accès ne reposent sur aucun mot de passe. Au lieu de cela, les clés d’authentification regroupent plusieurs facteurs d’authentification, généralement le téléphone ou l’ordinateur portable et le scan facial ou l’empreinte digitale de l’utilisateur, dans un seul package. Les clés de passe sont gérées par le système d’exploitation de l’appareil. Au choix de l’utilisateur, ils peuvent également être synchronisés via un cryptage de bout en bout avec les autres appareils d’un utilisateur à l’aide d’un service cloud fourni par Apple, Microsoft, Google ou un autre fournisseur.
Les clés d’accès sont « détectables », ce qui signifie qu’un appareil inscrit peut automatiquement en envoyer une via un tunnel crypté vers un autre appareil inscrit qui tente de se connecter à l’un des comptes de site ou des applications de l’utilisateur. Lors de la connexion, l’utilisateur s’authentifie à l’aide du même mot de passe ou code PIN biométrique ou sur l’appareil pour déverrouiller son appareil. Ce mécanisme remplace complètement le nom d’utilisateur et le mot de passe traditionnels et offre une expérience utilisateur beaucoup plus simple.
« Les utilisateurs n’ont plus besoin d’inscrire chaque appareil pour chaque service, ce qui a longtemps été le cas pour FIDO (et pour toute cryptographie à clé publique) », a déclaré Andrew Shikiar, directeur exécutif et directeur du marketing de FIDO. « En permettant à la clé privée de être synchronisé en toute sécurité sur un cloud de système d’exploitation, l’utilisateur n’a besoin de s’inscrire qu’une seule fois pour un service, puis est essentiellement pré-inscrit pour ce service sur tous ses autres appareils. Cela améliore la convivialité pour l’utilisateur final et, de manière très significative, permet au fournisseur de services de commencer à retirer les mots de passe comme moyen de récupération et de réinscription du compte. »
Le rédacteur en chef d’Ars Review, Ron Amadeo, a bien résumé les choses la semaine dernière lorsqu’il a écrit : « Les clés de sécurité échangent directement les clés cryptographiques WebAuthn avec le site Web. Il n’est pas nécessaire qu’un humain dise à un gestionnaire de mots de passe de générer, stocker et rappeler un secret. tout se passe automatiquement, avec des secrets bien meilleurs que ceux pris en charge par l’ancienne zone de texte, et avec l’unicité renforcée. »