Apple, Microsoft et Google ont annoncé jeudi le déploiement de la technologie FIDO lors de la journée mondiale du mot de passe. Le premier moteur de recherche mondial prévoit d’intégrer la solution sans mot de passe pour les standards de connexion FIDO dans Chrome, ChromeOS et Android. Apple et Microsoft ont eux aussi annoncé leur intention de suivre la même voie.
Pour les internautes et mobinautes, selon ses concepteurs, cette nouvelle technologie permettra aux sites web et aux applications d’offrir des ouvertures de session sans mot de passe cohérentes, sûres, rapides et simples sur tous les appareils et toutes les plateformes, selon un communiqué de la FIDO Alliance.
Centaines d’entreprises impliquées
Des centaines d’entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l’Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d’appareils et tous les navigateurs web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble et en intègrent désormais la prise en charge dans leurs plateformes respectives.
Pour se connecter sans mot de passe à ses applications ou aux sites web, les smartphones stockeront un identifiant FIDO appelé «passkey», qui sera utilisé pour déverrouiller le compte en ligne de l’utilisateur. Cette clé d’accès est censée rendre la connexion beaucoup plus sûre, car elle est basée sur la cryptographie, selon cette note de Google.
Smartphone incontournable
Pour se connecter à un site web sur son ordinateur, il suffira d’avoir son smartphone à portée de main de le déverrouiller pour y accéder lorsqu’on y sera invité. Cette opération effectuée, il ne sera plus nécessaire d’utiliser son téléphone portable, on se connectera en déverrouillant simplement son ordinateur.
Les pères de FIDO expliquent que la perte de son smartphone a été prévue. Les clés d’accès seront synchronisées avec un nouveau téléphone portable à partir d’une sauvegarde dans le nuage, ce qui permettra de reprendre là où l’ancien appareil s’était arrêté. Dans l’intervalle, Google propose de continuer de respecter les mesures de sécurité habituelles et de privilégier la double authentification, comme expliqué ici.
Xavier Studer
Il faudra bel et bien avoir un mot de passe pour régénérer un smartphone (volé, perdu, cassé, …). Et vu que ce mot de passe sera quasiment pas utilisé, pour ne pas l’oublier la tendance de le noter quelque part se courante, donc de se le faire voler.
Je ne vois pas vraiment le plus de FIDO, et si ce système tombe en panne… ?
Le risque d’un blackout numérique global arrive à grande vitesse, « je me réjouis déjà », un retour 15 ans en arrière en quelques minutes.
Ma confiance dans les GAFAM ne va pas toujours crescendo.
Selon Wikipedia l’Alliance FIDO a été lancée en février 2013 et a mis un temps considérable pour aboutir peut-être bientôt. SwissId n’a donc pas à rougir en terme de rapidité et de compétence pour un système similaire 🙂
De plus le site https://fidoalliance.org semble aux abonnés absents ce matin.
Non, leur site est fonctionnel
SwissID ne fait pas la même chose. Pour s’inscrire à SwissID, il faut montrer sa carte d’identité. Donc, on connaît l’identité d’un détenteur de compte SwissID. C’est la vraie plus-value de SwissID. Ce n’est absolument pas la cas avec FIDO.
Ensuite, avec SwissID, tu as des credentials classiques (user / password). L’authentification en 2 étapes est également activée, comme pour l’accès à un compte bancaire. Ici, tu valides ta connexion sur l’app SwissID.
Avec FIDO, c’est complètement différent. Tu n’as plus de user / password. Ton navigateur est lié à ton smartphone. Quand tu veux te connecter à un compte, tu devras valider ta connexion sur ton smartphone. En fait, FIDO s’inspire des connexions SSH avec private key / public key. Donc, aucun rapport avec SwissID.
Pour résumer simplement, SwissID est une carte d’identité numérique suisse. FIDO est une méthode d’authentification 2.0 (la méthode 1.0 étant les credentials user / password qu’on connait tous).
Etrange ! Je ne peux définitivement pas accéder au site https://fidoalliance.org par mon Internet-Box de Swisscom que ce soit par PC, Macc, iPhone, iPad ou Smartphone Android, tandis que j’y accède par données cellulaires.
Regardez avec Swisscom…
Ce concept est intéressant en théorie, mais il faut voir s’il sera adopté en pratique. Sur Stackoverflow, j’ai trouvé des questions relatives à l’implémentation qui date de 2014…. 8 ans plus tard, c’est tjs un produit inconnu.
Ce protocole a aussi des limites. D’abord, il faut posséder un smartphone. Donc, il faudra laisser l’alternative user / password pour les gens qui n’ont pas de smartphones… En laissant l’alternative, les gens vont rester sur un processus qu’ils connaissent.
Ensuite, le 2e gros problème des comptes sur Internet est l’absence de vérification de l’identité. C’est dommage que FIDO n’ait pas pensé à gérer ce problème.
Technologie FIDO contrôlée par les GAFAM non merci
La confidentialité, sécurité et protection de données n’est pas leurs priorités…
Rien que leur site internet utilise 13 traqueurs de profil en arrière plan ainsi que 4 fichiers espions
A méditer
L’alliance des cancres de la sécurité. Ça promet ! Vous ne me croyez pas, allez voir la cve security database!
https ://fidoalliance.org/
Innaccessible avec chrome sur mobile et ordinateur fixe
Avec Tor browser, le site web est accessible.
Alors que même le contenu n’a rien d’illégal.
Le problème est le cloudfare et/ou DNS pas correctement configuré entre fournisseurs.
Pas de problème fixe et mobile avec Chrome sur Sunrise.