La fin du mot de passe d'Apple et Google coincerait l'utilisateur dans l'écosystème
- Julien Russo
- Il y a 3 ans (Màj il y a 3 ans)
- 💬 3 coms
- 🔈 Écouter
Apple et Google ne s'en cachent plus, leur objectif est de proposer un avenir sans mot de passe quand vous utilisez votre smartphone, ordinateur ou tablette. L'authentification du futur se réalisera avec la reconnaissance faciale ou le système de lecture d'empreinte digitale, cependant il y a un petit côté négatif...
L'abandon du mot de passe aura un inconvénient
L'une des volontés d'Apple et de Google, c'est de supprimer le traditionnel mot de passe lors de la connexion à un site internet ou un service. Pour cela, les deux géants californiens imaginent un futur où vous pourrez vous authentifier via la reconnaissance faciale (Face ID) ou la lecture de l'empreinte (Touch ID).
Le système est simple et même plus sécurisé qu'un mot de passe qui peut être piraté par une tierce personne à l'autre bout du monde.
Voici le processus :
- Vous accédez à un site web ou une application qui vous demande de vous authentifier pour parvenir à votre compte
- Le site web ou l'application transfèrent une demande d'autorisation à votre appareil
- Le Face ID ou le Touch ID s'active
- Si l'authentification est un succès, votre appareil Apple transmet la confirmation de votre identité puis le site web ou l'application vous donne l'accès
À aucun moment le mot de passe n’est demandé, le site web ou l'app reporte sa confiance envers Apple et Google pour vérifier qu'il s'agit bien de vous.
Cette procédure s'appelle la norme FIDO, elle a été conçue par l'association FIDO Alliance qui existe depuis 2013, un organisme qui réclame à Apple et Google de changer cette politique de l'identifiant et mot de passe qu'on connait tous au quotidien.
Si cela parait une bonne nouvelle pour les consommateurs, c'est une mauvaise chose pour ceux qui souhaitent quitter un écosystème pour aller dans un autre. En effet, la norme FIDO qui va être adoptée par Apple et Google ne prend pas en compte le changement d'écosystème, traduisons par le passage d'un smartphone iOS vers Android ou dans le sens inverse.
Les clés d'accès sont stockées sur les appareils que vous utilisez, mais elles seront intransférables en dehors de l'écosystème où vous êtes.
Voici ce que déclare Fast Company qui s'est intéressé au sujet :
La proposition actuelle de FIDO n'a pas de mécanisme de transfert en vrac de clés de passe entre les écosystèmes. Si vous voulez passer d'un téléphone Android à un iPhone, ou vice versa, vous ne pourrez pas facilement déplacer toutes vos clés d'accès.
« Nous n'avons pas vraiment de méthode d'exportation par lots en ce moment », déclare Andrew Shikiar, directeur exécutif de FIDO Alliance. « Je pense que c'est probablement une itération future. »
En revanche, la nature tangible des mots de passe les rend assez faciles à transférer. Les principaux navigateurs Web peuvent importer des mots de passe d'autres navigateurs en quelques clics seulement, et la plupart des gestionnaires de mots de passe peuvent télécharger les connexions des utilisateurs sur une feuille de calcul .csv, ce qui permet aux utilisateurs de les télécharger manuellement sur un service concurrent.
Si le transfert des clés d'accès n'est pas proposé aujourd'hui, c'est essentiellement pour éviter que les pirates exploitent cette procédure qui permettrait de récupérer toutes les clés d'accès.
Il est très difficile de le faire en toute sécurité dès le départ, parce que si nous donnons un mécanisme sans grand soin pour que quelqu'un exporte toutes ces clés, vous savez qui va se présenter en premier pour cela. Ce ne sera pas l'utilisateur légitime.
Pour le moment, Apple fournit dans son écosystème la connexion via Face ID ou Touch ID, mais avec des identifiants et mots de passe enregistrés dans "Trousseau", cela ne nécessite pas l'autorisation d'un site ou service tiers, tout est géré par Safari. Avec le système de FIDO, plus besoin de préenregistrer un identifiant ou mot de passe, il faudra toutefois la coopération du site web ou de l'application pour profiter d'une telle authentification.