Dans un rapprochement des plus rares, Apple, Microsoft et Google se sont alliés afin de proposer une nouvelle génération de moyen d’identification. Elle permettrait tout simplement de ne plus utiliser de mot de passe. D’ici quelques mois, nous pourrions ne plus avoir à nous souvenir de nos mots de passe, que l’on utilise Safari, macOS, Windows, iOS, Chrome…

La fin du mot de passe annoncée depuis plusieurs années déjà

Six ans plus tôt, le World Wide Web Consortium (W3C) démarrait un projet avec une mission précise : supprimer les mots de passe. Plus tôt, plusieurs grands noms comme Microsoft, Google et PayPal s’étaient rapprochés avec la même idée en tête et ont créé la FIDO Alliance. Cette tâche bien complexe, aboutira en 2019, avec le standard officiel WebAuthn, fruit d’une collaboration entre la FIDO Alliance et W3C. Ne restera plus qu’à l’implanter et le démocratiser.

« Tout comme nous concevons nos produits pour qu'ils soient intuitifs et performants, nous les concevons également pour qu'ils soient privés et sécurisés », a déclaré Kurt Knight, directeur du marketing des produits de plateforme chez Apple. « Travailler avec l'industrie pour établir de nouvelles méthodes de connexion plus sûres qui offrent une meilleure protection et éliminent les vulnérabilités des mots de passe est au cœur de notre engagement à construire des produits qui offrent une sécurité maximale et une expérience utilisateur transparente - le tout dans le but de garder les informations personnelles des utilisateurs en sécurité. »

Le fonctionnement de ce mode d’identification est finalement assez simple. Les utilisateurs peuvent se connecter à un service en ligne, comme ils le font déjà habituellement. Seulement, pour que le site puisse vérifier leur identité sans mot de passe, il leur sera demandé d’utiliser un appareil secondaire. Ils pourront utiliser plusieurs solutions pour la vérification, notamment la caméra frontale, ou le lecteur d’empreinte. Pour les plus réticents, il sera aussi possible d’utiliser un simple code, ou même dessiner une forme.

fonctionnement connexion webauthn

Illustration d'une connexion utilisant le standard WebAuthn. Image : Google.

Si ces standards sont déjà intégrés à des milliards d’appareils et les navigateurs récents, Apple, Google, et Microsoft ont pris les devants pour étendre leurs capacités afin de les prendre en charge sur leurs plateformes. Ils ont également contribué à étendre ces fonctions vers les appareils mobiles, avec un accès aux informations d’identification, ou encore l’autorisation de connexion pour un appareil à proximité. « Par exemple, les utilisateurs peuvent se connecter sur un navigateur Google Chrome fonctionnant sur Microsoft Windows - en utilisant un mot de passe sur un appareil Apple, » détaille Vasu Jakkal, VP de la sécurité chez Microsoft.

Sans cela, l’expérience utilisateur aurait certainement été décriée, et l’adoption de ce monde sans mot de passe bien compliquée. Maintenant que ces défauts sont gommés, la FIDO Alliance annonce un lancement d’ici 2023.