FIDO Alliance est une association industrielle regroupant de grandes entreprises comme Google, Apple, Amazon et ayant pour mission principale de réduire la dépendance mondiale aux mots de passe. Pour y parvenir, elle promeut le développement, l'utilisation et le respect de normes d'authentification et d'attestation des appareils. Andrew Shikiar, Président de la FIDO Alliance nous en dit plus.
L’Informaticien : Quelles sont les principales technologies que propose l'Alliance FIDO pour remplacer les mots de passe ?
L'Alliance FIDO propose des passkeys pour remplacer les mots de passe. Ils permettent aux sites web et aux applications - comme les comptes Microsoft, PlayStation, Google, pour n'en citer que quelques-uns qui offrent des connexions avec des passkeys - de proposer une connexion sans mot de passe cohérente, sécurisée et conviviale. Basées sur les normes FIDO, les passkeys offrent des connexions plus rapides, plus faciles et résistantes au phishing sur les sites web et les applications sur tous les appareils d'un utilisateur. Les passkeys simplifient l'inscription aux comptes des applications et des sites web, sont faciles à utiliser, fonctionnent sur les appareils et systèmes d'exploitation les plus courants au monde, et fonctionnent même sur d'autres appareils à proximité physique. L'expérience utilisateur sera familière et cohérente sur la plupart des appareils d'un utilisateur - une simple vérification de leur empreinte digitale ou faciale, ou un code PIN de l'appareil, la même action simple que les consommateurs effectuent plusieurs fois par jour pour déverrouiller leurs appareils.
L’Informaticien : Comment progresse l'adoption des normes FIDO parmi les entreprises et les développeurs de logiciels ?
Au total, plus de 13 milliards de comptes d'utilisateurs peuvent désormais utiliser des passkeys pour se connecter. L'Alliance a également constaté qu’ils sont désormais pris en charge par 20 % des 100 premiers sites web mondiaux et par 12 % des 250 premiers. En conséquence des déploiements à grande échelle, la sensibilisation à la technologie est passée à 63 % des personnes, selon des recherches mondiales. Parmi les personnes ayant une certaine connaissance des passkeys, celles qui les activent sur au moins un compte augmentent sensiblement à 72 %, tandis que celles qui les activent sur tous les comptes possibles augmentent à 28 %, ce qui suggère que l'adoption ne fera qu'augmenter à mesure que davantage de personnes y seront familières.
L’Informaticien : Quels sont les principaux avantages en termes de sécurité et de confidentialité des solutions FIDO par rapport aux mots de passe traditionnels ?
Le phishing était déjà ingérable pour les entreprises bien avant l'émergence des grands modèles linguistiques (LLM) et de l'IA générative. Maintenant, cette technique d'attaque informatique, déjà responsable de plus de 90 % des violations de données, a été dopée par une technologie qui la rend pratiquement indétectable. L'industrie ne peut plus lutter contre les fraudeurs comme elle l'a fait pendant près de deux décennies. Pour donner un aperçu de l'ampleur du problème, une entreprise moyenne subit 700 attaques d'ingénierie sociale par an, dont en moyenne 57 visent le PDG. Dans le passé, de nombreuses attaques de phishing pouvaient être facilement identifiées par une mauvaise grammaire, une localisation incohérente ou des schémas irréalistes. Cependant, l'IA générative offre des atouts puissants aux fraudeurs pour rendre les attaques de phishing beaucoup plus convaincantes et évolutives. 74 % de toutes les violations sont causées par une erreur humaine, un abus de privilèges, l'utilisation de références volées ou l'ingénierie sociale - la grande majorité profitant des « secrets » basés sur la connaissance comme les mots de passe. En éliminant les mots de passe dans la chaîne de sécurité d'entreprise, nous pouvons éliminer la possibilité pour les fraudeurs de se faire duper par un e-mail ou un message. Les passkeys sont créés selon les normes FIDO éprouvées, ce qui signifie qu'ils protègent contre le phishing en garantissant que les informations d'identification ne peuvent pas être partagées involontairement et que le processus d'authentification ne peut pas être intercepté ou redirigé vers des entités malveillantes. Ils exploitent des paires de clés cryptographiques uniques spécifiques à une origine particulière, ce qui signifie qu'elles ne peuvent pas être découvertes ou utilisées par des services non liés. Cette architecture adresse l'une des faiblesses fondamentales des mots de passe traditionnels - leur vulnérabilité au vol et à la réutilisation sur plusieurs sites. La clé privée n'est jamais exposée ni stockée sur les serveurs de la partie qui s'y fie (RP), éliminant ainsi le risque de vol. Cela fait des passkeys un choix supérieur pour toute organisation cherchant à renforcer sa sécurité tout en améliorant la facilité d'utilisation.
L’Informaticien : Comment les solutions FIDO améliorent-elles l'expérience utilisateur par rapport aux mots de passe traditionnels ?
Lorsqu'un utilisateur est invité à se connecter à une application ou un site web, il approuve la connexion avec la même biométrie locale ou le même PIN qu'il utilise pour déverrouiller son appareil (téléphone, ordinateur ou clé de sécurité). Cette approbation est effectuée par l'utilisateur ; ces informations ne sont pas partagées avec le service. Le passkey peut alors être synchronisé et disponible sur tous les appareils de l'utilisateur. Par exemple, un utilisateur pourrait se connecter aux services web en utilisant un passkey - au lieu d'un mot de passe - sur son nouveau téléphone mobile. Comme les passkeys basés sur le téléphone sont synchronisés sur tous les appareils d'un utilisateur, le processus de passage à un nouveau téléphone mobile est une transition fluide. Il n'est pas nécessaire de mémoriser un mot de passe.
L’Informaticien : Les solutions FIDO sont-elles compatibles avec tous les appareils et systèmes d'exploitation actuels ?
Tout fabricant d'appareils, développeur de logiciels ou fournisseur de services en ligne peut intégrer le support des protocoles FIDO dans ses produits et services existants. La plupart des plateformes prennent déjà en charge la connexion avec un passkey à partir d'un appareil à proximité tel qu'un téléphone mobile ou une clé de sécurité. Celles-ci incluent Microsoft Edge, Firefox et Google Chrome sur Windows ; Edge, Safari et Google Chrome sur macOS ; et ChromeOS.
L’Informaticien : Y a-t-il des initiatives de l'Alliance FIDO visant à influencer les politiques publiques en matière de sécurité d'authentification ?
Oui - à travers ses groupes de travail et les responsables des politiques publiques membres, l'Alliance FIDO participe à des discussions significatives avec les décideurs du monde entier sur la manière dont les spécifications FIDO offrent de meilleures options d'authentification forte et recommande des mises à jour de politique associées. Les soumissions de politique publique sont disponibles sur https://fidoalliance.org/fido-alliance-public-policy-submissions/. Ces efforts ont conduit à la reconnaissance des FIDO et des passkeys par les décideurs politiques. Plus récemment, le NIST a reconnu les passkeys comme une option résistante au phishing pour l'AMF.
L’Informaticien : Quels sont les projets ou innovations futurs de l'Alliance FIDO pour continuer à améliorer la sécurité et l'expérience utilisateur ?
Les groupes de travail stratégiques de l'Alliance FIDO sont activement concentrés sur plusieurs domaines. Un jalon récent a été le lancement du programme de certification de vérification faciale, le premier programme de certification disponible à l'échelle mondiale pour tester et certifier les performances de la technologie de vérification d'identité biométrique à distance lors de la vérification d'un utilisateur par rapport à un document d'identité de confiance pour l'exactitude, la vivacité et le biais. Le programme intervient à un moment où la demande de solutions d'identité biométrique par reconnaissance faciale est en plein essor et où l'on reconnaît l'importance d'un processus robuste d'enregistrement et de réassociation de l'identité pour la sécurité globale des comptes en ligne. D'autres domaines que l'Alliance explore comprennent l'impact de futures technologies telles que les portefeuilles d'identité et l'informatique quantique. Enfin, l'expérience utilisateur reste une priorité constante pour l'Alliance FIDO, de sorte que la recherche portera sur les stratégies d'adoption, d'accès et de mise en œuvre.
L’Informaticien : Quels sont les obstacles rencontrés pour une adoption plus large des technologies FIDO ?
L'un des plus grands défis historiques à l'adoption de FIDO a maintenant été surmonté : la disponibilité et la scalabilité d'une alternative directe aux mots de passe. Les passkeys sont disponibles sur tous les appareils et systèmes d'exploitation les plus populaires au monde et sont aujourd'hui disponibles sur 20 % des 100 premiers sites web mondiaux, avec plus de 13 milliards de comptes d'utilisateurs pouvant utiliser les passkeys.
Aujourd'hui, les principaux obstacles à l'adoption se répartissent en trois catégories : les besoins de réglementation et de conformité, l'amélioration de la convivialité et de l'ergonomie des passkeys et autres technologies de l'Alliance FIDO afin de garantir une adoption facile et une satisfaction utilisateur élevée et la gestion du changement. De nombreuses industries, comme les services financiers et le droit, sont fortement réglementées, ce qui signifie qu'elles doivent être critiques vis-à-vis de tout changement apporté à l'authentification des utilisateurs pour s'assurer qu'il respecte la réglementation pertinente. L'Alliance collabore avec des experts dans différents secteurs pour garantir que ces exigences réglementaires sont respectées et que l'adoption des passkeys peut être accélérée.
Deuxièmement, bien que les passkeys offrent une expérience améliorée, une éducation généralisée auprès de bases de clients vastes et diversifiées est nécessaire pour s'assurer que les utilisateurs sont à l'aise avec la nouvelle technologie d'authentification (passkeys) et ne se retrouvent pas incapables d'accéder à leurs comptes. La simplicité et la communication claire sont essentielles ici.
Enfin, et étroitement liée aux deux autres préoccupations, il y a la gestion du changement. Aligner tous les intervenants internes sur les approches de déploiement des passkeys - y compris le support client, la préparation et l'éducation des clients... - est une question urgente pour toute organisation avant d'adopter des passkeys et peut prendre beaucoup de temps et de planification.