Proton, le fabricant d'un système de messagerie connu pour sa sécurité renforcée, a ajouté la prise en charge des clés d'accès pour son gestionnaire de mots de passe tout en frappant les « Big Tech » pour avoir piégé les clés d'accès de leurs utilisateurs derrière des « jardins clos ».

« Même si les mots de passe ont été développés par l'Alliance FIDO et le World Wide Web Consortium pour remplacer les mots de passe et sont destinés à fournir « des connexions plus rapides, plus faciles et plus sécurisées aux sites Web et aux applications sur les appareils d'un utilisateur », leur déploiement n'a pas encore été déployé. a été à la hauteur de ces nobles idéaux », a écrit Son Nguyen, fondateur de SimpleLogin et développeur de Proton Pass, dans un blog lundi.

« Au lieu de cela, les premières organisations à proposer des mots de passe, Apple et Google, ont privilégié l'utilisation de la technologie pour enfermer les gens dans leurs jardins clos plutôt que de fournir une solution sécurisée à tout le monde », a-t-il poursuivi. « Cette approche fermée diminue la valeur des mots de passe pour tout le monde et rend moins probable leur adoption universelle, ce qui est essentiel si l'on veut un jour remplacer les mots de passe. »

Roger Grimes, évangéliste de la défense chez KnowBe4, un fournisseur de formation de sensibilisation à la sécurité à Clearwater, en Floride, était d'accord avec Nguyen. « La norme de clé d'accès FIDO originale et actuelle et la façon dont les grands fournisseurs, tels que Microsoft, Google et Apple, la mettent en œuvre, créent des jardins clos », a-t-il déclaré à Technews.fr.

« FIDO est conscient de ce problème et travaille actuellement sur une version mise à jour des mots de passe qui supprime cette limitation », a-t-il déclaré.

« Proton n'est pas la première entreprise à s'attaquer au problème du verrouillage de la plate-forme par mot de passe », a-t-il ajouté. « Par exemple, le gestionnaire de mots de passe 1Password vous permet d'utiliser des mots de passe sur toutes les plateformes. »

Pas de verrouillage du fournisseur

Cependant, l'Alliance FIDO n'était pas d'accord avec les affirmations de Proton. « Les clés d'accès n'ont jamais été créées pour être uniquement le domaine des grandes technologies », a déclaré le directeur exécutif et PDG Andrew Shikiar.

« Nous avons toujours envisagé un écosystème ouvert autour de cela, c'est pourquoi vous voyez des entreprises comme 1Password, Dashlane et d'autres gestionnaires d'informations d'identification participer à l'Alliance FIDO », a-t-il déclaré à Technews.fr.

« Il n'y a pas de dépendance vis-à-vis d'un fournisseur », a-t-il déclaré. « En fait, toutes ces entreprises travaillent activement au sein de l’Alliance FIDO pour étudier un nouveau protocole permettant la portabilité des informations d’identification. Ils travaillent tous à vous permettre de migrer les mots de passe d'un cloud à un autre.

« Les clés d'accès sont conçues pour être mises en œuvre avec tous les types de plates-formes, d'applications et de systèmes d'exploitation », a ajouté James E. Lee, directeur de l'exploitation du Identity Theft Resource Center, une organisation à but non lucratif de San Diego qui se consacre à minimiser les risques et à atténuer l'impact. de compromission d'identité et de criminalité.

« C'est exactement ce que nous constatons actuellement », a-t-il déclaré à Technews.fr. « Agir autrement retarderait encore davantage l’adoption de ce qui est un processus exponentiellement plus sécurisé. »

Expériences utilisateur maladroites

Nguyen a soutenu qu'après avoir vu le déploiement des mots de passe par Big Tech, plusieurs gestionnaires de mots de passe ont également précipité la publication des mots de passe, ce qui a entraîné une expérience utilisateur maladroite.

« Certains gestionnaires de mots de passe ne prennent en charge les mots de passe que via leur extension Web, ce qui rend difficile la tâche de toute personne essayant de se connecter à la même application avec un mot de passe sur son téléphone mobile », a-t-il écrit. « La plupart des gestionnaires de mots de passe prenant en charge les clés d'accès ne les proposent qu'avec un forfait payant, ce qui signifie que Google Password Manager et Apple Keychain étaient les seuls fournisseurs de clés d'accès gratuits viables jusqu'à ce que Proton Pass les ajoute. »

« Les grandes technologies ont été parmi les premières à commencer à créer des solutions pour un monde sans mot de passe, mais une approche de jardins clos limite le potentiel d'adoption des mots de passe par les consommateurs », a ajouté Anna Pobletts, responsable du sans mot de passe chez 1Password.

« Chez 1Password », a-t-elle déclaré à Technews.fr, « nous avons adopté une approche interopérable afin que les utilisateurs puissent passer du mot de passe au sans mot de passe et pour garantir qu'ils ont le choix dans la manière dont ils gèrent leur identité en ligne sur toutes les plates-formes et appareils – au travail. et à la maison.

Solution résistante au phishing

Darren Guccione, PDG de Keeper Security, une société de gestion de mots de passe et de stockage en ligne à Chicago, a noté que les systèmes traditionnels basés sur des mots de passe sont en proie à des vulnérabilités inhérentes, notamment une vulnérabilité aux attaques par force brute, au phishing et aux faiblesses liées aux facteurs humains.

« Les méthodes d'authentification sans mot de passe qui exploitent la biométrie, l'authentification multifacteur et les technologies avancées offrent une défense robuste contre ces menaces », a-t-il déclaré à Technews.fr.

Contrairement aux mots de passe, qui consistent généralement en une combinaison de caractères, de chiffres et de symboles, les clés d'accès reposent sur les principes de la cryptographie à clé publique, a-t-il expliqué. Ils utilisent une paire de clés cryptographiques : une clé privée stockée en toute sécurité sur l'appareil de l'utilisateur et une clé publique enregistrée auprès du fournisseur de services.

Dans les coulisses, les mots de passe utilisent un mécanisme de défi-réponse, a-t-il poursuivi.

Lorsqu'un utilisateur tente d'accéder à son compte, le fournisseur de services envoie un défi à l'appareil de l'utilisateur. Par la suite, l'appareil signe le défi avec la clé privée et transmet la réponse signée au serveur pour validation.

Étant donné que la clé privée ne quitte jamais l'appareil de l'utilisateur et n'est pas transmise sur le réseau, les clés d'accès offrent un niveau de sécurité accru par rapport aux mots de passe traditionnels et résistent au phishing.

« Les clés d'accès sont limitées à l'appareil sur lequel elles sont créées, sauf si vous créez et enregistrez la clé d'accès dans un gestionnaire de mots de passe », a déclaré Guccione. « Le stockage des clés d'accès dans un gestionnaire de mots de passe sécurisé permet d'accéder à vos clés d'accès, quel que soit l'appareil que vous utilisez ou l'endroit à partir duquel vous vous connectez, vous permettant de les utiliser sur différents navigateurs et systèmes d'exploitation. »

« Les clés d'accès éliminent complètement certaines des attaques d'ingénierie sociale les plus courantes, comme le phishing ou le credential stuffing, car elles suppriment la récompense recherchée par les pirates : les identifiants », a ajouté Pobletts.

Ne pas supplanter les mots de passe

Guccione a noté que l'avenir des mots de passe semble prometteur, mais avec prudence et marqué par des progrès progressifs. « Le solide soutien des leaders technologiques tels que Microsoft, Apple, Google et Amazon est un pas dans la bonne direction », a-t-il déclaré. « Les efforts de normalisation peuvent jouer un rôle central pour surmonter les défis d’interopérabilité et favoriser une adoption plus large. »

« Néanmoins », a-t-il ajouté, « il est essentiel de reconnaître que les mots de passe ne supplanteront pas les mots de passe dans un avenir proche, voire jamais. »

« Parmi les milliards de sites Web existants, seule une fraction d'un pour cent propose actuellement un support pour les mots de passe », a-t-il poursuivi. « Cette adoption extrêmement limitée peut être attribuée à divers facteurs, notamment le niveau de support des plates-formes sous-jacentes, la nécessité d'ajustements du site Web et la nécessité d'une configuration initiée par l'utilisateur. »

Pour être une véritable solution de sécurité des comptes, les clés d'accès doivent devenir universelles, a ajouté Nguyen.

« Comme de nombreuses fonctionnalités en ligne, les mots de passe bénéficient d’un effet réseau », écrit-il. « Plus il y a de sites et de services qui utilisent des clés d'accès, plus la solution est efficace et simple pour les utilisateurs (avec l'avantage supplémentaire de sécuriser les données de chacun). Malheureusement, les grandes technologies ont traité les mots de passe comme une opportunité de faire progresser leurs intérêts commerciaux plutôt que comme un outil permettant d’assurer une sécurité universelle.