Un nouveau standard pourrait mettre fin aux mots de passe sur le Web

“Erreur : votre mot de passe doit comporter au moins 8 caractères et au moins une majuscule et un caractère numérique.” Fini ce message avec ce nouveau protocole de protection et d’identification sur Internet promu par le W3C et qui pourrait donc devenir un standard universel. 

FIDO Alliance et le W3C annonce avoir franchi une étape importante dans les efforts mondiaux pour une authentification simplifiée et renforcée sur le Web.

Avec le support de Google Chrome, Microsoft Edge et Mozilla Firefox, le projet FIDO2 ouvre une nouvelle ère d’authentification forte et résistante au phishing pour protéger les internautes dans le monde entier, avec le standard WebAuthn.

Le principe est simple, permettre d’utiliser des certificats électroniques tirant partie de la biométrie (empreinte et reconnaissance faciale) présente notamment sur les smartphones pour remplacer l’authentification par mot de passe.

Un des avantages serait que les sites n’aurait plus besoin de stocker les mots de passe de ses utilisateurs dans une base de données. Les informations d’identification de l’utilisateur et les modèles biométriques ne quittent jamais l’appareil de l’utilisateur et ne sont jamais stockés sur les serveurs. L’authentification se ferait par un système de clé publique et de clé privée, un message sera envoyé, signé avec la clé privée qui sera validé côté site par la clé publique et permettra l’authentification.  

Seul inconvénient, avec cette technologie qui permet de se passer de mot de passe il faudra avoir à portée de main un terminal permettant l’authentification. 

 
 
source : ZDNet

Publié le par
Partager sur Google + Partager sur Twitter Partager sur Facebook Alertes mail Partager
COMMENTAIRES DES LECTEURS (34)
Afficher les 28 premiers commentaires...
Posté le 13 avril 2018 à 12h10
christophedlr a écrit
Gringolitino a écrit christophedlr a écrit frederic76 a écrit 2bar a écrit Et quand les données biométriques seront piratées, on fera quoi? Ils diront que finalement les mdp étaient mieux ou ne le diront pas mais on y reviendrait !  Totalement d'accord. Proposer un tel système est une chose, le rendre obligatoire non merci que cela plaise ou non je continuerais à développer mes sites internet avec le principe du password ; c'est finalement le plus sécurisé si l'utilisateur est pas trop con. Tout étant piratable, le seul moyen d'éviter un problème c'est d'avoir plusieurs niveaux de sécurité, pas un seul et unique. Pour info, pour rentrer dans un datacenter par exemple, il que le client s'authentifie avec empreintes digitales + scan rétinien (et non reconnaissance faciale, qu'on a prouvé que ça marchait pas, exemple avec le système de Facebook aisément piratable) sachant qu'en plus un mec est là pour contrôlé en plus. Là, juste empreintes digitales, c'est pas compliqué, un gant suffit à tromper le système (oui c'est possible de fabriquer des gants avec les empreintes digitales d'une personne). La reco faciale, le système est simple à tromper aussi, suffit juste d'une belle photo ou d'une reproduction 3D et c'est bon. Le scan rétinien, ce n'est plus pareil, là il faudrait l'oeil de la personne donc il faut la tuer ce n'est déjà plus la même chose. Cela dit il arrivera un moment où ce système sera piratable. De plus selon l'article, le site n'a aucune données, c'est ton ordi qui fournis tout, mais pourtant faut bien que le site sache qui tu es, donc il y a forcément des données (privées ou publique qu'importe le type de clé), suffit donc de pirater le site pour remplacer les données. Et puis le piratage classique par injection SQL par exemple reste possible car 99% des sites ne sont pas sécurisés ; pirater directement la machine reste aussi totalement possible. Au final, cela permettrait simplement de se protéger contre le brute force et donc la connexion directe au compte du client, hors l'essentiel du pîratage ne vient pas de là mais du piratage directe du système derrière donc cette sécurité finalement vise juste à protéger les clients cons qui mettent le nom du chien comme password. Bref, c'est une sécurité totalement inutile à mon sens d'autant que cela obligera les gens à acheter du matériel et donc apprendre à l'utiliser, autrement dit les clients potentiels vont se tirer et aller chez ceux qui restent avec une sécurité classique (je me frotte les mains, je vais me faire un de ces frics lol). N’importe quoi... un système comme ça est très simple, et tu peux faire le même système pour tous les sites internet, et tu peux faire la même chose sans ce boîtier mais en générant cet OTP via un smartphone, un QRCode affiché à l’ecran, tu le scannes avec ton smartphone et tu fais ton identification avec ton smartphone et c’est réglé C'est pas réglé andouille, tout le monde n'a pas de smartphone. C'est bien ce que je dis, un système qui oblige les gens à prendre du matos qu'ils ne veulent pas, c'est pas un bon système et que cela te plaise ou non. Et je te signale que ce truc de token, c'est exactement la même chose que Google Authenticator et autres du genre, donc pourquoi réinventer la roue ? Pourquoi au lieu d'utiliser les Authenticator comme second niveau de sécurité, ne pas l'utiliser purement et simplement comme seul moyen de sécurité ? L'avantage est que c'est sous RFC donc normé donc n'importe qui peut faire un logiciel (pas besoin donc d'obligatoirement avoir le smartphone pour ça) pour gérer ce système. Et ça tombe bien WinAuth le gère justement (hélas que pour Windows), suffit donc d'avoir son équivalent sur toutes les platesformes (Linux, Windows, Mac) et c'est bon ; pour les smartphone l'application existe déjà c'est Google Authenticator. Et là pour le coup, pas de matos à acheter. Si tu as un smartphone, aucun soucis tu as l'appli qui est gratuite. Si tu n'en as pas, tu installes un logiciel sur ton PC pour gérer ça (WinAuth pour Windows, gratuit, fonctionne parfaitement et super simple à l'utilisation). Des systèmes de sécurités on en a déjà, pourquoi ne pas s'en servir plutôt que créer de nouveaux trucs et obliger à s'équiper en conséquence ? Je comprends pas cet intérêt. Si c'est éviter le piratage, désolé mais avec ce qui est dit dans l'article, suffit de pirater l'ordinateur du mec et hop on a accès à tout, suffit ensuite de remplacer les données "biométrique" et c'est gagné. De plus cette solution empêche sur un autre terminal d'accéder aux sites puisque les informations d'identification sont dans le premier avec cette histoire de certificat (stocker en local de ce qui est dit). Bref, vous voulez éviter le piratage ? le principe du 2fA suffit très largement. Vous voulez éviter en plus les password ? On arrête avec la double auth, on s'en sert comme premier niveau d'identification tout simplement et le tour est joué, on a notre sécurité. La seule chose c'est la clé de départ qui sert à générer le code toute les 30 secondes, qui peut tout à fait être volée dans les BDD des sites. Au final, TOUTES les solutions ont le même soucis de sécurité : l'obtention des données par des pirates. Qu'importe que se soit un certificat, des données biométrique en dure ou que sais-je, tout est piratable, il faut donc toujours plusieurs niveaux de sécurités pour éviter les soucis. Donc on garde les password et on ajoute le 2fA, cela suffit très largement. Simplement peut de sites mettent en place ce moyen d'identification, moi je compte le mettre sur mon site et mes futurs sites (et sites de mes futurs clients s'ils acceptent cette solution de sécurité de second niveau).

Si t’as pas de smartphone, tu utilises le Token, tête de noeud !! Je rajoute l’insulte comme tu ne sais pas débattre sans insulter !! Cretin !! 

Posté le 13 avril 2018 à 12h22

Alors d'une part andouille n'a jamais été une insulte, en revanche toi tu m'insultes. Ensuite ton token, il faut l'acheter non ? Donc tu obliges bien les gens à acheter du matos juste pour pouvoir aller sur des sites internet. Tu te rends compte de la chose ? Tu OBLIGES a DEPENSER du fric pour un appareil qui comme tout les appareils du genre (Blizzard l'a fait, EA pour SWTOR l'a fait) n'a qu'une durée de vie, une fois mort si tu n'as pas noté la clé au départ ben tu es mort faut faire supprimer la clé et utiliser la nouvelle fournie par l'appareil (sinon tu peux restaurer l'ancienne clé si tu l'as notée).

Sauf que là on te parle pas de quelques sites ou jeux vidéos, mais de TOUT les sites internet (et certainement jeux vidéo au passage voir logiciels qui demandes une identification etc.), de faire la même chose. Autrement dit si ton appareil viens à crever, d'une part tu en rachètes un mais en plus, si tu n'es pas noté l'ancienne clé, tu es bon pour utiliser la nouvelle donc comment tu fais pour te connecter sur un site (n'importe lequel) qui serait en contact avec la base centralisée pour remplacer l'ancienne clé ?

Ben là tu appels le support (le support de cette base centralisée ? Ca va coûter combien encore cette merde ? Combien de temps d'attente pour joindre le support ?) pour faire supprimer l'ancienne clé et associée donc ensuite la nouvelle et enfin retrouver ton compte sur les différents sites.

Si EA comme Blizzard ont abandonné cet appareil fournissant le dit "token" (c'est ni plus ni moins qu'une double authentification comme je l'ai cité tout à l'heure avec le Google Authenticator) au profit de l'application mobile, tout simplement parce que la durée de vie de ces appareils est faible et le client doit en racheter un par la suite ce qui n'est pas génial alros qu'avec l'application rien à acheter c'est gratos.

Je dirais même que EA utilisait son propre authenticator pour SWTOR, selon son propre truc, et finalement ils ont abandonné pour passer sur la norme utilisée par le Google Authenticator, ce qui fait que cette application (et toute application ou logiciel travaillant avec cette RFC), peut aussi générer et/ou gérer une clé pour SWTOR.

Bref, l'appareil physique c'est loin d'être l'idéal, et si tu n'as pas de smartphone je reste sur le fait que tu es dans la merde d'où leur idée de ce matos qu'il te faut acheter obligatoirement ; hors pas idéal non plus, car tu vas obligé les utilisateurs à acheter un appareil juste pour aller sur internet, comme s'ils payaient pas déjà assez de trucs.

Faut pas croire, derrière des trucs qui paraissent géniaux, des fois faut savoir voir les problèmes que cela pose. Ce standard ne doit pas devenir un standard, mais une solution alternative possible et dont les développeurs devraient être libre de les proposés sur leurs sites, sans toutefois le rendre obligatoire (et donc permettre toujours le bon vieux système d'identification classique tout simplement).

Là on te parle d'un standard, donc une obligation d'utiliser ce système, avec tout les problèmes que cela pose. Ca doit rester un choix, pas une obligation.

Posté le 13 avril 2018 à 12h56
christophedlr a écrit
Alors d'une part andouille n'a jamais été une insulte, en revanche toi tu m'insultes. Ensuite ton token, il faut l'acheter non ? Donc tu obliges bien les gens à acheter du matos juste pour pouvoir aller sur des sites internet. Tu te rends compte de la chose ? Tu OBLIGES a DEPENSER du fric pour un appareil qui comme tout les appareils du genre (Blizzard l'a fait, EA pour SWTOR l'a fait) n'a qu'une durée de vie, une fois mort si tu n'as pas noté la clé au départ ben tu es mort faut faire supprimer la clé et utiliser la nouvelle fournie par l'appareil (sinon tu peux restaurer l'ancienne clé si tu l'as notée). Sauf que là on te parle pas de quelques sites ou jeux vidéos, mais de TOUT les sites internet (et certainement jeux vidéo au passage voir logiciels qui demandes une identification etc.), de faire la même chose. Autrement dit si ton appareil viens à crever, d'une part tu en rachètes un mais en plus, si tu n'es pas noté l'ancienne clé, tu es bon pour utiliser la nouvelle donc comment tu fais pour te connecter sur un site (n'importe lequel) qui serait en contact avec la base centralisée pour remplacer l'ancienne clé ? Ben là tu appels le support (le support de cette base centralisée ? Ca va coûter combien encore cette merde ? Combien de temps d'attente pour joindre le support ?) pour faire supprimer l'ancienne clé et associée donc ensuite la nouvelle et enfin retrouver ton compte sur les différents sites. Si EA comme Blizzard ont abandonné cet appareil fournissant le dit "token" (c'est ni plus ni moins qu'une double authentification comme je l'ai cité tout à l'heure avec le Google Authenticator) au profit de l'application mobile, tout simplement parce que la durée de vie de ces appareils est faible et le client doit en racheter un par la suite ce qui n'est pas génial alros qu'avec l'application rien à acheter c'est gratos. Je dirais même que EA utilisait son propre authenticator pour SWTOR, selon son propre truc, et finalement ils ont abandonné pour passer sur la norme utilisée par le Google Authenticator, ce qui fait que cette application (et toute application ou logiciel travaillant avec cette RFC), peut aussi générer et/ou gérer une clé pour SWTOR. Bref, l'appareil physique c'est loin d'être l'idéal, et si tu n'as pas de smartphone je reste sur le fait que tu es dans la merde d'où leur idée de ce matos qu'il te faut acheter obligatoirement ; hors pas idéal non plus, car tu vas obligé les utilisateurs à acheter un appareil juste pour aller sur internet, comme s'ils payaient pas déjà assez de trucs. Faut pas croire, derrière des trucs qui paraissent géniaux, des fois faut savoir voir les problèmes que cela pose. Ce standard ne doit pas devenir un standard, mais une solution alternative possible et dont les développeurs devraient être libre de les proposés sur leurs sites, sans toutefois le rendre obligatoire (et donc permettre toujours le bon vieux système d'identification classique tout simplement). Là on te parle d'un standard, donc une obligation d'utiliser ce système, avec tout les problèmes que cela pose. Ca doit rester un choix, pas une obligation.

Oui oui, soyons sérieux, quel est le % de gens qui vont sur internet qui n’ont pas de smartphone ? La double authentification devrait être OBLIGATOIRE, qu’importe le moyen pour le faire, via un Token un smartphone ou autre, même si il y aura toujours du piratage, cette double identification réduira énormément le piratage. Quand je vois que tu peux te connecter à la plupart des banques juste avec un id et un mdp.... Et après ça pleure qu’il y a du piratage ! 

Posté le 13 avril 2018 à 13h35

Soyons encore plus sérieux, la proportion de ceux qui vont sur internet qu'avec le smartphone est plus faible que tu ne le crois. Quand à la double authentification, la rendre obligatoire NON, que tout les sites la propose OUI il le faudrait (et c'est ce que je compte faire sur mes sites et proposer à mes futurs clients pour leurs sites).

Quand aux banques, y aurait moins de piratage déjà si le code n'était pas de 4 chiffres seulement, ensuite s'ils faisaient un effort pour réellement sécurisé les choses il y aurait encore moins de soucis.

Combien actuellement il y a de sites internet qui enregistrent en dur le mot de passe ? Beaucoup hélas. Combien sont toujours au hashage MD5 obsolète depuis des lustres et dont les utilisateurs utilisent des mots du dictionnaires ou des noms propre comme mot de passe ? Hélas un très fort pourcentage là aussi.

Déjà pour une bonne sécurité, un site internet doit être fait selon le respect des standards de sécurités : failles CSRF, injection SQL et j'en passe. Quand aux password, pas moins que le SHA256, SHA512 fortement recommandé pour une bonne sécurité.

Ensuite, il faut imposer à l'utilisateur de sécurisé son mot de passe : 6 à 8 caractères minimum, chiffres/lettres (majuscules comme minuscules), caractères spéciaux (~"# etc.). Rien que là déjà le mot de passe est à minima sécurisé. Ensuite le site doit pas permettre plus de 3 à 5 essais de connexion, le mieux étant ce que fait Microsoft par exemple (ou d'autres mais assez rare hélas), c'est à dire qu'à la fin de ces essais, le compte est tout simplement bloqué.

C'est donc après à l'utilisateur (le vrai pas celui qui a tenté d'accéder au compte), de déverrouillé son compte par un moyen mis en place par le site (cela peut être un SMS comme un code généré automatiquement par le site via le un lien spécial et unique fournis dans l'e-mail par exemple).

Là on a encore de la sécurité, et je n'ai pas encore parlé de la mise en place possible (sur choix de l'utilisateur) de la fameuse double sécurité (appelé le 2fA) qui sécurise encore plus le tout.

Des moyens de sécurisés les accès, tu en as pleins, suffit que les développeurs se sortent les doigts du cul pour respecter les recommandations en matière de sécurité. Rien que pour le hashage, je suis un des rare à être passé depuis des lustres sur le SHA256 ou SHA512, même en formation on nous a appris le MD5, même pas on nous parle des problèmes de sécurités en utilisant ce type de hashage.

Ca pleure qu'il y a du piratage, car derrière le boulot n'est pas fait correctement et ont ouvre en grand les vannes en laissant les failles bien ouvertes alors qu'on sait qu'il faut les fermer.

Je signale qu'en interne, les entreprises bien souvent le responsable informatique ne génère même pas un password pour l'accès aux ordinateurs ou aux serveurs, en général le responsable IT se contente de prendre un mot du dictionnaire, que lui il a donc sous les yeux et le donne ensuite à l'employé sans lui laisser la possibilité de le modifier sur son accès. Résultat en 5 minutes, tu cracks le password et rentre dans le système.

Que les dev fassent leur boulot, que les responsable informatique fassent aussi le leur, et 80% des problèmes de piratage s'envoleront. Pas besoin de se faire chier avec des trucs à la con comme la reco faciale ou les empreintes.

Posté le 13 avril 2018 à 14h33

et si on montre son Q ça marche aussi ?

Posté le 13 avril 2018 à 23h36

Mais bien sûr! Déjà que monsieur et madame tout le monde avaient du mal avec le certificat électronique des impôts. Alors je n'ose même pas ce que cela va donner avec leur usine à gaz. Et tout ça pour se débarrasser des responsabilités et du cout de la sécurisation des mots de passe.

Et bien entendu, les gens vont applaudir des deux mains. Déjà qu'ils confient leurs mots de passe à des gestionnaires de mots de passe dont la sécurité n'a jamais été testée. On n'est pas sorti de l'auberge.

RUBRIQUE COMMENTAIRE
Bonjour , avant de poster, veuillez vous assurer d'avoir pris connaissance des règles.

X

Quatre consignes avant de réagir :

  • Rester dans le cadre de l'article. Pour des discussions plus générales, vous pouvez utiliser nos forums.
  • Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
  • Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
  • Pour toute remarque concernant une faute dans l'article, merci de nous contacter exclusivement par le formulaire "signaler une erreur" lors de la sélection du texte de l'article (les commentaires portants sur ce sujet seront systématiquement supprimés).