Aux oubliettes les mots de passe ? Afin de rendre la jungle du web plus sécurisée, Apple, Google et Microsoft ont annoncé une initiative commune pour étendre le support du standard de l'Alliance FIDO et du W3C d'authentification sans mot de passe. L'objectif est de permettre aux utilisateurs et aux internautes du monde entier de se connecter de façon sûre, sécurisée et en toute simplicité à des services et plateformes web depuis une grande variété de terminaux (ordinateurs, smartphones, objets connectés...). Si par le passé ces trois géants informatiques américains avaient déjà avancé leurs pions dans le support de ce nouveau mécanisme d'authentification, ils n'avaient jusqu'alors pas encore avancé conjointement. C'est désormais le cas avec des avancées communes en termes d'implémentation.
Apple, Google et Microsoft se sont ainsi mis d'accord sur le fait d'Autoriser les utilisateurs à accéder automatiquement à leurs identifiants de connexion FIDO sur leurs différents terminaux sans avoir à réenregistrer manuellement chaque fois leur compte utilisateur dessus. Mais également de leur permettre d'utiliser l'authentification FIDO sur leur terminal mobile pour se connecter à une application ou à un site web sur un appareil à proximité, quelle que soit la plateforme, l'OS ou le navigateur utilisé. « En plus de faciliter une meilleure expérience utilisateur, le large support de cette approche basée sur des normes permettra aux fournisseurs de services d'offrir des informations d'identification FIDO sans avoir besoin de mots de passe comme méthode alternative de connexion ou de récupération de compte », indiquent un communiqué commun.
Une clé d'authentification chiffrée sur clé publique adossée au smartphone
Dans un billet de blog, Google a apporté des précisions un peu plus concrètes pour évaluer la façon dont cette authentification sans mot de passe fonctionnera : « votre téléphone stockera un identifiant FIDO appelé mot de passe utilisé pour déverrouiller votre compte en ligne. La clé d'authentification rend la connexion beaucoup plus sécurisée, car elle est basée sur la cryptographie à clé publique et n'est affichée sur votre compte en ligne que lorsque vous déverrouillez votre téléphone », indique le groupe.
« Pour vous connecter à un site web sur votre ordinateur, vous aurez juste besoin de votre téléphone à proximité et vous serez simplement invité à le déverrouiller pour y accéder. Une fois que vous avez fait cela, vous n'aurez plus besoin de votre téléphone et vous pourrez vous connecter en déverrouillant simplement votre ordinateur. Même si vous perdez votre téléphone, vos mots de passe se synchroniseront en toute sécurité avec votre nouveau téléphone à partir de la sauvegarde dans le cloud, vous permettant de reprendre là où votre ancien appareil s'est arrêté ».