Comment les Passkeys FIDO vont accélérer un futur sans mot de passe

Les mots de passe sont présents depuis l’invention des ordinateurs et sont aujourd’hui encore le principal moyen de protection d’une grande partie de nos infrastructures informatiques. Toutefois, bien qu’ils restent la méthode de sécurité la plus courante, les mots de passe digitaux posent un problème intrinsèque, qui s’amplifiera au fur et à mesure de l’évolution de la technologie.

Pourquoi ?

Les mots de passe sont basés sur des connaissances, ce qui signifie qu’ils peuvent facilement être devinés ou volés. Ils sont aussi une source de frustration chez l’utilisateur, frustration qui peut affecter la productivité des employés, la satisfaction client mais aussi le chiffre d’affaires.

Aussi, comment concilier tout cela lorsque les mots de passe, malgré leurs inconvénients, sont vraiment la seule solution de sécurité digitale jamais connue par la société ?

Bonne question. La réponse est de s’orienter vers le passwordless, comme le font de grandes entreprises dans divers secteurs avec les passkeys FIDO. 

L’un des développements récents les plus populaires en matière de passwordless est le FIDO (Fast Identity Online). FIDO (Fast Identity Online). FIDO est un standard ouvert qui permet aux utilisateurs de s’authentifier via une connexion chiffrée hautement sécurisée, qui résiste au phishing et est facile à mettre en œuvre. FIDO2, le protocole le plus récent, utilise les terminaux physiques des utilisateurs pour stocker localement des identifiants sur un équipement sécurisé et relever des défis d’authentification.

Le fait que Apple, Google et Microsoft aient annoncé conjointement qu’ils soutiennent le passwordless est une affirmation claire que FIDO est le moyen d’avancer vers un futur passwordless, ce qui en fait le nouveau standard. Les passkeys suppriment les barrières les plus courantes à l’adoption du FIDO en (1) permettant aux utilisateurs d’adhérer une fois à FIDO, en partageant l’identifiant entre les terminaux sur la même plateforme, et (2) en étant capable d’utiliser des terminaux FIDO enregistrés sur une plateforme pour s’authentifier lors d’une connexion sur une autre.

Il n’a pas été facile d’arriver jusque là. Remontons un peu dans le passé pour voir comment nous en sommes arrivés là.

Premiers problèmes avec FIDO

S’agissant d’une solution chiffrée liée à la fois à un domaine et à un hardware, FIDO a la réputation d’être une méthode hautement sécurisée et recommandée pour la gestion des identités et des accès (IAM).

Toutefois, aussi innovant que FIDO prétende être (en particulier comparé à une utilisation traditionnelle des mots de passe), FIDO a dans les premiers temps connu quelques défauts qui ont dû être corrigés afin que de grandes entreprises telles que Apple, Google et Microsoft se trouvent là où elles sont aujourd’hui, avec l’annonce de la mise en œuvre de passkeys passwordless/FIDO.

Voici quelques uns de ces défauts rencontrés :

Enregistrement et facilité d’utilisation

L’un des premiers problèmes rencontrés avec FIDO était qu’il fallait toujours utiliser des mécanismes d’authentification plus faibles (comme des mots de passe) pendant le processus d’enregistrement initial. Lors du premier enregistrement sur un terminal jouant le rôle de plateforme FIDO, l’utilisateur devait nécessairement lier son authentification à cette plateforme sur ce terminal. 

Ceci voulait dire que si vous essayiez de vous connecter depuis un autre terminal plateforme en votre possession, vous deviez vous authentifier en utilisant une méthode alternative (de nouveau en ayant généralement recours à un mot de passe) avant que le site ou l’application vous donne accès. Puis, une fois approuvé, vous deviez enregistrer également ce nouveau terminal pour pouvoir utiliser FIDO sur celui-ci. Cette procédure devait se répéter sur chacun des terminaux utilisés pour l’accès.

Ceci entraînait une réelle complexité d’utilisation, rendant les organisations réticentes à abandonner les traditionnels mots de passe et leurs procédures de connexion habituelles, même si elles étaient moins sécurisées, en échange d’un nouveau système représentant uniquement un léger progrès.

Impossibilité d’éliminer totalement les mots de passe

Compte tenu des difficultés rencontrées lors de l’enregistrement, FIDO n’avait du sens que dans un seul cas de figure. Pour que FIDO remplisse son objectif d’éliminer complètement les mots de passe et de supprimer la menace des attaques ciblant couramment ces derniers, il fallait l’adopter intégralement et en faire l’unique moyen d’authentification pour les utilisateurs. En d’autres termes, le fait de continuer à mélanger des méthodes de connexion traditionnelles avec mot de passe constituait un casse-tête qui conduisait FIDO à ne pas respecter sa promesse de passwordless.

Récupération

De plus, l’incapacité à éliminer entièrement les mots de passe a finalement conduit à des problèmes de récupération. Concrètement, les organisations qui choisissaient la voie décrite plus haut (en faisant de FIDO le principal moyen d’authentification de leurs utilisateurs) finissaient par rencontrer des problèmes de récupération des comptes utilisateur. Ces problèmes de récupération résultaient de la complexité d’utilisation mentionnée précédemment. En conséquence, les utilisateurs devaient toujours avoir accès à au moins deux terminaux FIDO enregistrés, au cas où ils en perdaient un, pour permettre la récupération des comptes. 

Autrement, en l’absence du seul terminal FIDO enregistré auquel leurs identités étaient associées, ils ne pourraient accéder à aucun de leurs comptes. 

Adoption lente

Comme vous pouvez le voir, FIDO était associé à de nombreux problèmes. De l’incapacité à éliminer entièrement les frictions dès la procédure d’enregistrement initiale aux problèmes de récupération de comptes via le besoin de disposer d’un terminal FIDO supplémentaire en backup comme moyen de secours (au cas où un utilisateur perdait un terminal FIDO), il était difficile de voir l’avantage que FIDO pouvait apporter aux organisations et à leurs utilisateurs. Ceci a efficacement freiné une large adoption de FIDO.

Les problèmes liés à FIDO étaient visibles mais une solution existait pour l’améliorer et poursuivre sur la voie d’un avenir passwordless. 

C’est là que les passkeys FIDO (ou identifiants multi-terminaux) ont été introduits. Il s’agissait d’un ajout comportemental aux spécifications et à la mise en œuvre du FIDO. Les passkeys FIDO fournissent aux utilisateurs une façon plus efficace d’inscrire leurs terminaux FIDO et d’enregistrer de nouveaux sites durant la configuration initiale. De plus, les passkeys FIDO ne nécessitent ni sauvegarde fastidieuse ni processus de récupération. Vous pouvez simplement inscrire/désinscrire les terminaux avec une sauvegarde cloud depuis votre fournisseur de services.

Source: https://media.fidoalliance.org/wp-content/uploads/2022/03/How-FIDO-Addresses-a-Full-Range-of-Use-Cases-March24.pdf

Les passkeys accélèrent également l’adoption de FIDO au sein des entreprises en réduisant la barrière à l’entrée de la technologie. Désormais, les identifiants FIDO ne sont plus associés à un terminal spécifique et sont automatiquement synchronisés avec le cloud. Ils peuvent ainsi être réutilisés sur les multiples terminaux qu’un utilisateur peut posséder sur la même plateforme, en facilitant et en rendant plus résilients l’inscription et la récupération de comptes.

Une autre barrière significative à l’adoption du FIDO que les passkeys permettent de lever concerne la capacité à partager les identifiants sur des plates-formes de fournisseurs différents. Par exemple, en scannant un QR code sur une plateforme, les utilisateurs peuvent s’authentifier en utilisant leurs identifiants d’identité de confiance depuis une plateforme différente. Ceci est réalisé via des liaisons Bluetooth pour faciliter l’authentification et améliorer l’interopérabilité entre les plates-formes. 

Mais ce n’est pas tout. L’adoption de FIDO et l’abandon progressif des mots de passe est un projet concret poussé par de grandes entreprises technologiques, et nous percevons désormais des améliorations encore plus prometteuses. Certaines de ces améliorations visent à satisfaire les exigences des divers secteurs du marché. D’autres prévoient de créer une expérience utilisateur simple, sécurisée et familière en intégrant l’authentification avec les identifiants digitaux FIDO dans le gestionnaire de mots de passe du navigateur, la procédure devenant ultra simple pour les utilisateurs.

Les passkeys FIDO sont une nouvelle étape excitante vers un avenir passwordless. Cela étant dit, malgré les nombreux avantages qu’ils offrent, les passkeys ne sont pas encore une solution miracle. Les organisations devraient réfléchir à ce qui suit avant de se lancer dans l’adoption des passkeys :

1. Les passkeys sont stockées dans le cloud et nécessitent donc une stricte vérification des contrôles de sécurité de votre cloud.

    

2. Les passkeys sont gérées par la plateforme qui les supporte, par exemple Google, Microsoft, etc. Aussi, les organisations doivent être à l’aise avec le fait qu’une tierce partie ne jouera pas seulement un rôle actif dans l’authentification de leurs utilisateurs mais demandera aussi aux utilisateurs d’activer une sauvegarde dans le cloud sur leurs terminaux.

    

3. Des serveurs FIDO sont toujours nécessaires pour commencer à utiliser des passkeys. Ces serveurs ne sont fournis par aucune plateforme qui supporte les passkeys.

De plus, lorsqu’elles envisagent d’adopter les passkeys et FIDO en général, les organisations doivent aussi tenir compte du fait que FIDO est un standard qui continue à évoluer et dont la mise en œuvre est à différentes phases de maturité sur des plates-formes et des navigateurs différents. De ce fait, les organisations doivent être prêtes à affronter des problèmes futurs de compatibilité et d’expérience utilisateur et à s’y adapter en conséquence.

Ping Identity est membre de l’'alliance FIDO et fournit également les meilleurs services FIDO du marché pour tous les scénarios et cas d’usage du passwordless, en qualité de fournisseur gérant tout le cycle de vie des identités. Ping Identity supporte tous les fournisseurs de systèmes d’exploitation et de navigateurs annoncés dans la première itération des passkeys. Ping Idendity peut prendre en charge l’interopérabilité sur ces divers écosystèmes de systèmes d’exploitation et de navigateurs via sa plateforme d’orchestration PingOne DaVinci. En outre, les passkeys créeront une assise plus large et plus solide pour les services proposés par Ping.

Ping Identity peut aider les organisations à entamer leur parcours vers le passwordless car il supporte tous les cas d’usage du passwordless pour tous les types d’identité. De plus, en utilisant les passkeys, Ping Identity peut encore améliorer la sécurité des identités via des indicateurs de risque et de fraude. 

Pour en savoir plus sur les bonnes pratiques liées au déploiement du passwordless dans votre organisation, y compris FIDO2 et les passkeys, découvrez la Solution Passwordless de Ping Identity.