La fin du mot de passe d'Apple et Google coincerait l'utilisateur dans l'écosystème

apple black iconeApple et Google ne s'en cachent plus, leur objectif est de proposer un avenir sans mot de passe quand vous utilisez votre smartphone, ordinateur ou tablette. L'authentification du futur se réalisera avec la reconnaissance faciale ou le système de lecture d'empreinte digitale, cependant il y a un petit côté négatif...

L'abandon du mot de passe aura un inconvénient

L'une des volontés d'Apple et de Google, c'est de supprimer le traditionnel mot de passe lors de la connexion à un site internet ou un service. Pour cela, les deux géants californiens imaginent un futur où vous pourrez vous authentifier via la reconnaissance faciale (Face ID) ou la lecture de l'empreinte (Touch ID).
Le système est simple et même plus sécurisé qu'un mot de passe qui peut être piraté par une tierce personne à l'autre bout du monde.
Voici le processus :

  1. Vous accédez à un site web ou une application qui vous demande de vous authentifier pour parvenir à votre compte
  2. Le site web ou l'application transfèrent une demande d'autorisation à votre appareil
  3. Le Face ID ou le Touch ID s'active
  4. Si l'authentification est un succès, votre appareil Apple transmet la confirmation de votre identité puis le site web ou l'application vous donne l'accès

À aucun moment le mot de passe n’est demandé, le site web ou l'app reporte sa confiance envers Apple et Google pour vérifier qu'il s'agit bien de vous.
Cette procédure s'appelle la norme FIDO, elle a été conçue par l'association FIDO Alliance qui existe depuis 2013, un organisme qui réclame à Apple et Google de changer cette politique de l'identifiant et mot de passe qu'on connait tous au quotidien.

face id apple

Si cela parait une bonne nouvelle pour les consommateurs, c'est une mauvaise chose pour ceux qui souhaitent quitter un écosystème pour aller dans un autre. En effet, la norme FIDO qui va être adoptée par Apple et Google ne prend pas en compte le changement d'écosystème, traduisons par le passage d'un smartphone iOS vers Android ou dans le sens inverse.
Les clés d'accès sont stockées sur les appareils que vous utilisez, mais elles seront intransférables en dehors de l'écosystème où vous êtes.
Voici ce que déclare Fast Company qui s'est intéressé au sujet :

La proposition actuelle de FIDO n'a pas de mécanisme de transfert en vrac de clés de passe entre les écosystèmes. Si vous voulez passer d'un téléphone Android à un iPhone, ou vice versa, vous ne pourrez pas facilement déplacer toutes vos clés d'accès.

« Nous n'avons pas vraiment de méthode d'exportation par lots en ce moment », déclare Andrew Shikiar, directeur exécutif de FIDO Alliance. « Je pense que c'est probablement une itération future. »

En revanche, la nature tangible des mots de passe les rend assez faciles à transférer. Les principaux navigateurs Web peuvent importer des mots de passe d'autres navigateurs en quelques clics seulement, et la plupart des gestionnaires de mots de passe peuvent télécharger les connexions des utilisateurs sur une feuille de calcul .csv, ce qui permet aux utilisateurs de les télécharger manuellement sur un service concurrent.

Si le transfert des clés d'accès n'est pas proposé aujourd'hui, c'est essentiellement pour éviter que les pirates exploitent cette procédure qui permettrait de récupérer toutes les clés d'accès.

Il est très difficile de le faire en toute sécurité dès le départ, parce que si nous donnons un mécanisme sans grand soin pour que quelqu'un exporte toutes ces clés, vous savez qui va se présenter en premier pour cela. Ce ne sera pas l'utilisateur légitime.

Pour le moment, Apple fournit dans son écosystème la connexion via Face ID ou Touch ID, mais avec des identifiants et mots de passe enregistrés dans "Trousseau", cela ne nécessite pas l'autorisation d'un site ou service tiers, tout est géré par Safari. Avec le système de FIDO, plus besoin de préenregistrer un identifiant ou mot de passe, il faudra toutefois la coopération du site web ou de l'application pour profiter d'une telle authentification.

3 réactions

halodysse - iPhone

Sinon il y a Bitwarden.

31/05/2022 à 06h43

N103 - iPhone

@AlienFall - iPhone premium
On pourra sûrement couper la connexion entre l’utilisateur et le site avec les données supprimées sur les serveurs du site ce qui constitue en une suppression de compte. Par contre pour les comptes alternatifs ou ‘poubelles’ comme vous dites j’en doute…. Étant donné que sûrement la préoccupation de FIDO, Google et Apple c’est de stopper les faux comptes et robots sur les sites et médias sociaux et que seul un humain identifiable puisse y accéder….. pour le moment ce qui marche bien c’est Hide my Email d’Apple il est facile de créer des comptes avec des fausses addresses puis si on arrive pas a supprimer le compte ou notre demande de se soustraire des compagnes publicitaires est ignorée, de désactiver l’émail adresse.

Quoiqu’il en soit je pense qu’il y aura toujours un malin pour trouver une faille au système mais c’est vrai que ça me la vie privée à mal et il sera plus difficile de se défaire des ses sites avec FIDO.

31/05/2022 à 02h08

AlienFall - iPhone premium

Si je comprends bien, impossible de créer des « comptes poubelles » ou temporaires? Aussi pour le tracking ils sera d’autant plus facile de suivre un internaute vu que tous ses comptes seront réuni sur le même identifiant ? C’est bien ça ? Ou je suis à côté de la plaque? Merci d’avance

30/05/2022 à 17h51

Donnez votre avis
Cliquez pour commenter
Vous aimerez peut-être

Suivez-nous avec notre app iSoft
Articles populaires
Les derniers articles