Se connecter
Inscription
Mot de passe perdu
Publié le 20/06/2023 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Le 20 juin 2023 - Beaucoup d'entre nous en ont assez des mots de passe. Dans un monde où nous devons gérer l'accès à des dizaines de comptes en ligne, les mots de passe ne semblent plus adaptés. Beaucoup d'entre nous réutilisent les mêmes informations de connexion faciles à mémoriser pour nos applis et sites et commettent des erreurs liées à ces mots de passe. Ceci permet aux personnes malveillantes de deviner ou de voler plus facilement nos informations. Et lorsqu’un mot de passe est piraté, tout notre monde numérique peut s'effondrer.
Il est assez remarquable que les mots de passe aient duré si longtemps. La raison tient principalement à un manque d'alternatives efficaces. C’est peut-être sur le point de changer, avec l'émergence des clés de sécurité. Google a récemment annoncé la prise en charge de cette nouvelle technologie sur les comptes personnels et professionnels (un peu comme Apple et Microsoft). Une nouvelle ère de connexions sans mot de passe pourrait-elle être imminente ?
Les précédentes tentatives d'amélioration ou de mise à jour des systèmes de mot de passe n'ont pas eu beaucoup de succès. L'authentification à deux facteurs (2FA) contribue de manière significative à rendre les mots de passe plus sûrs, mais son adoption est loin d'être universelle, certaines personnes trouvant le processus peu pratique. De plus, les codes à usage unique envoyés aux utilisateurs via des messages texte (sms), de loin les plus communément utilisés, peuvent toujours être interceptés.
Les gestionnaires de mots de passe font un excellent travail de création, de stockage et de rappel d'un mot de passe long, complexe et unique pour chaque site. Mais ils ne couvrent pas toujours tous nos appareils, systèmes d'exploitation et navigateurs et peuvent présenter une vraie faiblesse si on égare son mot de passe principal. Parfois, l'expérience utilisateur est même un peu maladroite.
Voici donc les clés d'accès, une norme issue de l'industrie que les plus grands noms de la technologie espèrent un jour voir remplacer les mots de passe, 2FA et des besoins de gestion qui en découlent.
Comment fonctionnent les clés d'accès ?
Les clés d’accès exploitent la puissance de la cryptographie à clé publique. Une clé d'accès consiste en une paire de clés cryptographiques - une privée et une publique correspondante - qui est générée pour sécuriser notre compte sur un site, une appli ou tout autre service en ligne.
La clé privée est stockée sur notre appareil sous forme d'une longue chaîne de caractères cryptés, alors que la clé publique correspondante est téléchargée sur les serveurs du service en ligne correspondant, comme par exemple Google ou même le système de gestion des mots de passe du trousseau de clés iCloud d'Apple.
Ensuite, lorsqu’on veut se connecter, il nous est demandé de s’authentifier via notre code PIN, empreinte digitale ou un autre mécanisme de verrouillage de l'appareil. Il n'est pas nécessaire de saisir ou de mémoriser les mots de passe, ce qui rend le processus plus sûr et plus transparent à utiliser.
Lors de la tentative de connexion, le serveur envoie un défi cryptographique à notre appareil, demandant à la clé privée de le résoudre et de le relayer au serveur. Cette réponse est utilisée pour vérifier que les paires de clés, publique et privée, correspondent car les deux sont nécessaires pour s’ authentifier.
À aucun moment, les données biométriques ne quittent l'appareil et le serveur n'apprend pas non plus quelle est la clé privée. En effet, on ne voie jamais la clé privée soi-même - tout se passe en arrière-plan et avec un effort quasi nul de notre part.
Quels sont les avantages des clés d'accès ?
Les clés d'accès pourraient-elles être le «miracle » de la facilité d'utilisation et d'une sécurité renforcée? Voici quelques-uns des avantages :
• Résistant aux tentatives d’hameçonnage et à l'ingénierie sociale : les clés d'accès éliminent le problème des personnes qui divulgueraient accidentellement leurs identifiants à des cybercriminels en les introduisant sur de faux sites. On est invité à utiliser notre appareil pour prouver qu’on est bien le véritable propriétaire du compte.
• Empêcher les retombées d'une violation par un tiers : en cas de violation d'un site ou d'un fournisseur d'applis, seules les clés publiques peuvent être volées ; la clé privée n'est jamais partagée avec le service en ligne et il n'y a aucun moyen de la trouver à partir de la clé publique. La clé publique est donc inutile pour l’attaquant. Dans le système actuel, les pirates peuvent voler de grandes quantités de combinaisons nom d'utilisateur/mot de passe prêtes à l'emploi.
• Évite les attaques par force brute : les clés d’accès reposent sur la cryptographie publique de la clé, les attaquants ne peuvent pas les deviner ou utiliser des techniques de force brute pour ouvrir des comptes.
• Pas d'interception 2FA : il n'y a pas de deuxième facteur avec les clés d'accès, les utilisateurs ne sont donc pas exposés aux techniques d'attaque conçues pour intercepter les codes SMS, etc. Une clé d’accès est comme composée de plusieurs facteurs d'authentification. Les clés d’accès sont suffisamment solides pour remplacer même la version la plus sécurisée de 2FA – de vraies clés de sécurité matérielles.
• Basés sur les standards de l'industrie : les clés d'accès sont basées sur les normes du groupe de travail FIDO Alliance et W3C WebAuthn. Elles doivent donc fonctionner sur tous les systèmes d'exploitation, navigateurs, sites Web, applis et écosystèmes mobiles participants. Apple, Google et Microsoft supportent la technologie, tout comme les principales sociétés de gestion de mots de passe telles que 1Password et Dashlane et les plateformes comme WordPress, PayPal, eBay et Shopify.
• Facile à récupérer : les clés d'accès peuvent être stockées dans le cloud et ainsi restaurées sur un nouvel appareil en cas de perte.
• Rien à mémoriser : pour les utilisateurs, il n'est plus nécessaire de créer, de mémoriser et de protéger de gros volumes de mots de passe.
• Fonctionne sur de nombreux appareils : une fois créée, cette clé peut être utilisée sur de nouveaux appareils sans qu'il faille se réinscrire, conformément à l'authentification biométrique habituelle.
Il y a néanmoins des mises en garde, comme détaillé ci-dessous.
Pourquoi les clés d’accès ne seraient-elles pas une bonne idée ?
Il peut y avoir des obstacles qui, pour le moment, peuvent finalement nous empêcher d'adopter ce système : l'adoption par l'industrie et la méthode de synchronisation des clés.
• Les clés d’accès se synchronisent uniquement sur les appareils ayant le même système d'exploitation : comme cet article l'explique, les clés d’accès se synchronisent par plate-forme de système d'exploitation. Si on a un appareil iOS mais qu’on utilise également Windows, cela peut créer des conflits, et une expérience utilisateur frustrante. On devra scanner les codes QR et activer le Bluetooth pour que nos clés d’accès fonctionnent sur des appareils utilisant des systèmes d'exploitation différents. Ce qui est moins convivial que l'expérience actuelle avec mots de passe.
• L'adoption est loin d'être à l'échelle de l'industrie : bien que certains grands noms poussent à l’adoption du système par clés d'accès, ce dernier n'en est qu'à ses balbutiements. Outre les grandes plates-formes, il faudra également un certain temps avant d'atteindre une masse critique de sites et d'applis qui le supportent. Vous pouvez vérifier ici si vos plates-formes préférées prennent en charge cette technologie.
Alors, serait-ce le début de la fin pour nos traditionnels mots de passe ? A ce jour, le système par clés d’accès est le concurrent le plus sérieux. Mais pour obtenir un support quasi universel des utilisateurs, les fournisseurs de technologies devront encore faciliter son utilisation dans différents écosystèmes de systèmes d'exploitation.
Si vous souhaitez essayer les clés d'accès, il ne faut que très peu d'efforts pour démarrer, via le menu des paramètres de votre ou vos comptes Google, Apple ou Microsoft.
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Il est assez remarquable que les mots de passe aient duré si longtemps. La raison tient principalement à un manque d'alternatives efficaces. C’est peut-être sur le point de changer, avec l'émergence des clés de sécurité. Google a récemment annoncé la prise en charge de cette nouvelle technologie sur les comptes personnels et professionnels (un peu comme Apple et Microsoft). Une nouvelle ère de connexions sans mot de passe pourrait-elle être imminente ?
Les précédentes tentatives d'amélioration ou de mise à jour des systèmes de mot de passe n'ont pas eu beaucoup de succès. L'authentification à deux facteurs (2FA) contribue de manière significative à rendre les mots de passe plus sûrs, mais son adoption est loin d'être universelle, certaines personnes trouvant le processus peu pratique. De plus, les codes à usage unique envoyés aux utilisateurs via des messages texte (sms), de loin les plus communément utilisés, peuvent toujours être interceptés.
Les gestionnaires de mots de passe font un excellent travail de création, de stockage et de rappel d'un mot de passe long, complexe et unique pour chaque site. Mais ils ne couvrent pas toujours tous nos appareils, systèmes d'exploitation et navigateurs et peuvent présenter une vraie faiblesse si on égare son mot de passe principal. Parfois, l'expérience utilisateur est même un peu maladroite.
Voici donc les clés d'accès, une norme issue de l'industrie que les plus grands noms de la technologie espèrent un jour voir remplacer les mots de passe, 2FA et des besoins de gestion qui en découlent.
Comment fonctionnent les clés d'accès ?
Les clés d’accès exploitent la puissance de la cryptographie à clé publique. Une clé d'accès consiste en une paire de clés cryptographiques - une privée et une publique correspondante - qui est générée pour sécuriser notre compte sur un site, une appli ou tout autre service en ligne.
La clé privée est stockée sur notre appareil sous forme d'une longue chaîne de caractères cryptés, alors que la clé publique correspondante est téléchargée sur les serveurs du service en ligne correspondant, comme par exemple Google ou même le système de gestion des mots de passe du trousseau de clés iCloud d'Apple.
Ensuite, lorsqu’on veut se connecter, il nous est demandé de s’authentifier via notre code PIN, empreinte digitale ou un autre mécanisme de verrouillage de l'appareil. Il n'est pas nécessaire de saisir ou de mémoriser les mots de passe, ce qui rend le processus plus sûr et plus transparent à utiliser.
Lors de la tentative de connexion, le serveur envoie un défi cryptographique à notre appareil, demandant à la clé privée de le résoudre et de le relayer au serveur. Cette réponse est utilisée pour vérifier que les paires de clés, publique et privée, correspondent car les deux sont nécessaires pour s’ authentifier.
À aucun moment, les données biométriques ne quittent l'appareil et le serveur n'apprend pas non plus quelle est la clé privée. En effet, on ne voie jamais la clé privée soi-même - tout se passe en arrière-plan et avec un effort quasi nul de notre part.
Quels sont les avantages des clés d'accès ?
Les clés d'accès pourraient-elles être le «miracle » de la facilité d'utilisation et d'une sécurité renforcée? Voici quelques-uns des avantages :
• Résistant aux tentatives d’hameçonnage et à l'ingénierie sociale : les clés d'accès éliminent le problème des personnes qui divulgueraient accidentellement leurs identifiants à des cybercriminels en les introduisant sur de faux sites. On est invité à utiliser notre appareil pour prouver qu’on est bien le véritable propriétaire du compte.
• Empêcher les retombées d'une violation par un tiers : en cas de violation d'un site ou d'un fournisseur d'applis, seules les clés publiques peuvent être volées ; la clé privée n'est jamais partagée avec le service en ligne et il n'y a aucun moyen de la trouver à partir de la clé publique. La clé publique est donc inutile pour l’attaquant. Dans le système actuel, les pirates peuvent voler de grandes quantités de combinaisons nom d'utilisateur/mot de passe prêtes à l'emploi.
• Évite les attaques par force brute : les clés d’accès reposent sur la cryptographie publique de la clé, les attaquants ne peuvent pas les deviner ou utiliser des techniques de force brute pour ouvrir des comptes.
• Pas d'interception 2FA : il n'y a pas de deuxième facteur avec les clés d'accès, les utilisateurs ne sont donc pas exposés aux techniques d'attaque conçues pour intercepter les codes SMS, etc. Une clé d’accès est comme composée de plusieurs facteurs d'authentification. Les clés d’accès sont suffisamment solides pour remplacer même la version la plus sécurisée de 2FA – de vraies clés de sécurité matérielles.
• Basés sur les standards de l'industrie : les clés d'accès sont basées sur les normes du groupe de travail FIDO Alliance et W3C WebAuthn. Elles doivent donc fonctionner sur tous les systèmes d'exploitation, navigateurs, sites Web, applis et écosystèmes mobiles participants. Apple, Google et Microsoft supportent la technologie, tout comme les principales sociétés de gestion de mots de passe telles que 1Password et Dashlane et les plateformes comme WordPress, PayPal, eBay et Shopify.
• Facile à récupérer : les clés d'accès peuvent être stockées dans le cloud et ainsi restaurées sur un nouvel appareil en cas de perte.
• Rien à mémoriser : pour les utilisateurs, il n'est plus nécessaire de créer, de mémoriser et de protéger de gros volumes de mots de passe.
• Fonctionne sur de nombreux appareils : une fois créée, cette clé peut être utilisée sur de nouveaux appareils sans qu'il faille se réinscrire, conformément à l'authentification biométrique habituelle.
Il y a néanmoins des mises en garde, comme détaillé ci-dessous.
Pourquoi les clés d’accès ne seraient-elles pas une bonne idée ?
Il peut y avoir des obstacles qui, pour le moment, peuvent finalement nous empêcher d'adopter ce système : l'adoption par l'industrie et la méthode de synchronisation des clés.
• Les clés d’accès se synchronisent uniquement sur les appareils ayant le même système d'exploitation : comme cet article l'explique, les clés d’accès se synchronisent par plate-forme de système d'exploitation. Si on a un appareil iOS mais qu’on utilise également Windows, cela peut créer des conflits, et une expérience utilisateur frustrante. On devra scanner les codes QR et activer le Bluetooth pour que nos clés d’accès fonctionnent sur des appareils utilisant des systèmes d'exploitation différents. Ce qui est moins convivial que l'expérience actuelle avec mots de passe.
• L'adoption est loin d'être à l'échelle de l'industrie : bien que certains grands noms poussent à l’adoption du système par clés d'accès, ce dernier n'en est qu'à ses balbutiements. Outre les grandes plates-formes, il faudra également un certain temps avant d'atteindre une masse critique de sites et d'applis qui le supportent. Vous pouvez vérifier ici si vos plates-formes préférées prennent en charge cette technologie.
Alors, serait-ce le début de la fin pour nos traditionnels mots de passe ? A ce jour, le système par clés d’accès est le concurrent le plus sérieux. Mais pour obtenir un support quasi universel des utilisateurs, les fournisseurs de technologies devront encore faciliter son utilisation dans différents écosystèmes de systèmes d'exploitation.
Si vous souhaitez essayer les clés d'accès, il ne faut que très peu d'efforts pour démarrer, via le menu des paramètres de votre ou vos comptes Google, Apple ou Microsoft.
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Liens associés
04/07/2024 @ 15:40:52
Poster un commentaire
Jeux Vidéos
Consoles
Google
Programmation
iOS
