Microsoft fait un pas supplémentaire vers la suppression des mots de passe

Sécurité : Les utilisateurs de Windows 10 et Windows 11 peuvent désormais chosir de supprimer les mots de passe pour accéder à une application de compte Microsoft.

Microsoft étend les options de connexion sans mot de passe – déjà disponibles pour les entreprises clientes qui utilisent Azure Active Directory (AAD) – aux comptes Microsoft grand public, sur les PC Windows 10 et Windows 11.

« Nous étendons cette technologie sans mot de passe que nous avions proposée aux entreprises plus tôt cette année au grand public. C’est simple à mettre en place. Si vous avez un compte Microsoft, vous pouvez utiliser l’Authenticator et, en quelques étapes, vous n’aurez plus besoin de mot de passe », fait valoir Vasu Jakkal, vice-président de la division Sécurité, conformité, identité et gestion de Microsoft.

 publicité 

Ouverture au grand public

Les utilisateurs choisissent souvent de mauvais mots de passe, faciles à deviner, qui peuvent être sujets aux attaques de type Password Spraying. Cette technique consiste à utiliser une liste de mots de passe courants contre des comptes en ligne, en sachant que certains utilisateurs les auront sélectionnés.

Mais cela signifie-t-il la mort du mot de passe ? Les normes OAuth et FIDO2 contribuent à faciliter l’utilisation des smartphones comme options d’authentification à deux ou plusieurs facteurs (2FA, MFA).

Mais, même pour un géant du logiciel comme Microsoft, qui a plus d’un milliard de PC en service aujourd’hui, la résolution du problème des mots de passe nécessite le soutien de l’ensemble du secteur, et notamment des fabricants de systèmes d’exploitation, de navigateurs et des développeurs d’applications. Les PC Windows et les comptes Microsoft pour les applications Microsoft comme Office, OneDrive et Outlook constituent une partie de la réponse, mais pas la totalité.

Néanmoins, Vasu Jakkal insiste sur le fait que Microsoft fait des progrès. « Près de 100 % de nos employés sont sans mot de passe. Nous utilisons Windows Hello et la biométrie. Microsoft compte déjà 200 millions de clients n’utilisant plus de mots de passe, tant chez les particuliers que dans les entreprises », affirme-t-il.

Déploiement progressif

Pour le moment, l’option de connexion sans mot de passe ne concerne que les comptes Microsoft, mais elle s’étendra aux applications Microsoft sur iOS, Android et Windows.

S’il n’est pas si courant d’utiliser des comptes Microsoft pour se connecter à des applications tierces, il est plus probable que les personnes possédant un compte Microsoft utilisent des applications Office en ligne comme Teams, PowerPoint, Excel, Word ou SharePoint.

L’application Microsoft Authenticator pour iOS et Android proposera désormais aux utilisateurs la possibilité de se connecter sans mot de passe aux applications prises en charge, et qui s’appuient sur un compte Microsoft.

Les applications Microsoft qui nécessitent encore un mot de passe sont les suivantes :

  • Xbox 360, ou antérieure ;
  • Office 2010, ou version antérieure ;
  • Office pour Mac 2011, ou version antérieure ;
  • produits et services qui utilisent les services de messagerie IMAP et POP ;
  • Windows 7, Windows 8.1, Windows 10, version 1809 ou antérieure ;
  • certaines fonctionnalités de Windows, notamment Remote Desktop et Credential Manager.

Bataille de normes

L’effort en ce sens a été initié depuis plusieurs années chez Microsoft, et a nécessité le développement de spécifications pour la FIDO, l’organisation qui dirige l’authentification à deux facteurs et les normes sans mot de passe, indique Alex Simons, vice-président de Microsoft Identity, à ZDNet.

« Il s’agissait d’une modification du protocole Windows Hello, que nous avions initialement créé pour l’usage de Microsoft. Google et Microsoft l’ont soumis ensemble par le biais de la FIDO et, au fil du temps, nous avons effectué un certain nombre de travaux. Nous avons aujourd’hui ce que nous connaissons sous le nom de WebAuthn, et toutes les normes qui rendent FIDO2 possible. »

Alex Simons explique que la prise en charge de la connexion sans mot de passe avec les comptes Microsoft grand public signifie que les utilisateurs finaux pourront se débarrasser complètement des mots de passe comme option de connexion. Cela permet d’écarter les menaces d’attaques de type password spraying pour les comptes Microsoft et d’encourager les utilisateurs à utiliser d’autres méthodes de connexion pour accéder à leur compte Microsoft.

« Pour la première fois, nous donnons aux utilisateurs de comptes Microsoft non seulement la possibilité d’utiliser l’authentification sans mot de passe, dont ils disposent depuis des années, mais aussi la possibilité de supprimer complètement leurs mots de passe. Vous pouvez donc bloquer l’authentification par mot de passe et forcer l’utilisation d’un facteur sans mot de passe, qu’il s’agisse de Windows Hello, d’une clé FIDO2 de partenaires comme YubiKey ou de l’application Authenticator », souligne Alex Simons. « Nous faisons également pression sur Apple et Google pour qu’ils prennent en charge la norme de manière native », ajoute-t-il.

Source : ZDNet.com

Catégories