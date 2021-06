Est-ce la fin des noms d’utilisateur et des mots de passe ? C’est au tour d’Apple de le souhaiter. Le fabricant californien compte introduire une nouvelle fonction d’identification qui ferait disparaître l’éternelle fenêtre de connexion exigeant de s’identifier manuellement pour accéder à des sites et à des applications Web et mobiles.

Cette nouvelle technologie appelée Passkey fait partie de la mise à jour à venir cet automne du logiciel qui anime ses Mac et son iPhone. Elle prend pour le moment la forme d’un aperçu technique qui est présenté aux éditeurs d’applications Web et mobiles. Elle leur a été présentée un peu en douce cette semaine dans le cadre de la conférence WWDC qu’Apple tient chaque année à leur attention. Si leur réaction est suffisamment positive, Apple croit que Passkey sera déployée graduellement au fil des prochains mois et des prochaines années.

Combinant le trousseau d’accès des produits Apple et sa plateforme infonuagique iCloud, ce nouvel outil repose sur une norme Web ouverte appelée WebAuthn. Cette norme remplace l’identification avec un nom d’usager et un mot de passe par un protocole d’authentification chiffré et basé sur l’appareil utilisé pour accéder à un service en ligne. Les navigateurs Web de Google Microsoft, de Mozilla et d’Apple intègrent déjà cette norme.

Les systèmes d’exploitation Android, de Google, et Windows 10, de Microsoft sont aussi compatibles avec WebAuthn. Apple compte donc ajouter MacOS et iOS, ses propres systèmes d’exploitation, à cette liste. Le géant techno profite de son influence auprès des créateurs d’applications et de services Web pour les encourager à faire de même.

Couper court au hameçonnage

L’idée derrière ce nouveau protocole d’authentification est de permettre à des applications en ligne d’identifier leurs utilisateurs directement à partir du dispositif de déverrouillage de l’appareil qu’ils utilisent pour se connecter. Il s’agit du même principe que la reconnaissance faciale Windows Hello du côté des PC, le lecteur d’empreintes de la plupart des appareils mobiles Android ainsi que Touch ID et Face ID, chez Apple.

Cette méthode d’identification pourrait aussi remplacer la clé USB utilisée par de nombreuses organisations et entreprises pour permettre à leurs employés de se connecter aux outils informatiques du bureau.

Des technologies comme Passkey génèrent des identifiants de connexion chiffrés qui sont différents d’un service à l’autre et que même l’utilisateur ignore. Dans le cas d’Apple, comme ces identifiants sont stockés dans le trousseau en ligne iCloud, ils peuvent être utilisés sans tracas à partir de n’importe quel autre appareil connecté au même compte Apple.

Cette approche a comme avantage d’éviter qu’un utilisateur transmette par inadvertance ses infos de connexion à un tiers, par exemple dans le cadre d’une campagne d’hameçonnage visant à voler son identité numérique.

Google fait de même

La présentation par Apple de ces nouvelles mesures de sécurité fait écho à sensiblement la même annonce faite par Google plus tôt ce printemps. L’éditeur de la plateforme mobile Android souhaite aussi voir disparaître les mots de passe trop faciles à deviner ou à oublier. Google encouragera aussi plus fortement les quelque deux milliards de personnes qui utilisent sa plateforme à mettre à jour leurs données de connexion qui se sont retrouvées dans des fuites de données par le passé.

Dans la prochaine version d’Android, Google compte faciliter l’importation dans son propre trousseau de connexion des données de connexion de ses utilisateurs. Ce trousseau sera également partagé de façon plus fluide entre ses mobiles et son navigateur Chrome, pour éviter à l’utilisateur d’avoir à mémoriser le tout.

Enfin, Chrome proposera des raccourcis vers les réglages de sites identifiés comme ayant été victimes d’une fuite de donnée pour inciter leurs utilisateurs à mettre à jour leurs identifiants. Là encore, l’objectif est de réduire l’impact pour le public des cyberattaques toujours très fréquentes sur Internet, un mot de passe à la fois.