L’alliance FIDO dévoile de nouvelles spécifications pour transférer les passkeys
La FIDO Alliance poursuit sa démarche de suppression des mots de passe en proposant de nouvelles spécifications permettant aux utilisateurs et aux organisations de transférer des passkeys et d’autres identifiants entre différents fournisseurs.
Dans un article publié lundi, la FIDO Alliance a annoncé deux nouvelles spécifications destinées à aider les utilisateurs à déplacer de manière sécurisée des passkeys dans un gestionnaire d’identifiants. Ces spécifications ont été développées par le groupe d’intérêt spécial Credential Provider de FIDO, qui inclut des acteurs tels que 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta, Samsung et SK Telecom.
FIDO a pour objectif d’étendre l’adoption des passkeys, une option d’authentification relativement nouvelle conçue pour remplacer les mots de passe, face à l’évolution des menaces d’ingénierie sociale. Okta et Google ont tous deux introduit la prise en charge des passkeys l’an dernier.
Désormais, les spécifications proposées par FIDO, nommées Credential Exchange Format (CXF) et Credential Exchange Protocol (CXP), permettraient aux entreprises d’exporter et d’importer des passkeys et d’autres identifiants d’un fournisseur à un autre de manière sécurisée.
Des formats universels pour sécuriser les transferts
Nick Steele, responsable produit chez 1Password et co-président de la FIDO Alliance, a détaillé ces nouvelles spécifications dans un article de blog publié lundi. Bien que les passkeys protègent contre le phishing et d’autres menaces liées à la gestion des identités (IAM), Steele a souligné qu’il n’existe actuellement aucun moyen sécurisé de les transférer entre différents gestionnaires de mots de passe. Il a qualifié cela de « limitation technique » et a expliqué que c’est l’une des raisons pour lesquelles les utilisateurs pourraient préférer les mots de passe aux passkeys.
« Ces spécifications fournissent un format universel et un mécanisme sécurisé pour transférer toutes sortes d’identifiants, y compris les passkeys, les mots de passe traditionnels et tout ce qui est généralement géré via un fichier CSV », explique Nick Steele dans son article de blog.
Il a également précisé à TechTarget – éditeur du MagIT – que les spécifications utilisent les mêmes mécanismes que TLS, qui aide à établir une connexion cryptée. « Nous utilisons l’échange de clés Diffie-Hellman pour chiffrer les identifiants en déplacement, et ils ne peuvent être déchiffrés que par le fournisseur importateur. En plus de la norme, nous ajoutons également une fonctionnalité permettant aux entreprises d’agir en tant qu’autorisateur, de sorte que les fournisseurs ne puissent déplacer des identifiants qu’avec l’autorisation expresse de l’entreprise propriétaire du compte fournisseur », a-t-il déclaré par e-mail.
Complexité accrue pour les fournisseurs
Nick Steele a cité des défis potentiels, la plupart liés à l’expérience utilisateur. « À mesure que les identifiants deviennent plus complexes, comme avec les mDLs (permis de conduire mobiles), il est important que les utilisateurs comprennent comment et quand ces identifiants sont échangés entre les portefeuilles », a-t-il précisé.
La FIDO Alliance et ses partenaires ont publié les spécifications proposées afin de recueillir des retours de la communauté de la sécurité avant une sortie officielle. Bien qu’il n’y ait pas de date de sortie officielle, Nick Steele indique que FIDO publiera une version de révision publique des spécifications CXP et CXF au premier trimestre 2025. Et d’ajouter que 1Password et Bitwarden publieront une bibliothèque open source en Rust pour démontrer les spécifications et espérer accélérer leur mise en œuvre.
Un pas vers une adoption plus large des passkeys
Todd Thiemann, analyste principal d’ESG, le cabinet d’analystes propre à TechTarget, estime que les nouvelles spécifications de FIDO devraient encourager l’adoption des passkeys. Cependant, cela pourrait également poser des défis en matière de sécurité.
Todd ThiemannAnalyste principal, ESG
« Il existe un groupe d’utilisateurs qui s’inquiètent du verrouillage des fournisseurs, et ce nouveau protocole répond à leurs préoccupations. Une fois le nouveau protocole implémenté par les fournisseurs de passkeys, les utilisateurs pourront déplacer leurs passkeys d’un fournisseur à un autre », précise Todd Thiemann. « La nouvelle flexibilité offerte par la spécification augmente cependant la complexité de la sécurité pour les fournisseurs. Avant ce protocole, l’évaluation de la sécurité liée à une passkey dépendait du fournisseur qui l’avait créée. Désormais, les passkeys peuvent évoluer et changer tout au long de leur cycle de vie, ce qui ajoute une certaine complexité en matière de sécurité. »
Éliminer les mots de passe devient de plus en plus important à mesure que le paysage des menaces évolue. Plus tôt cette année, un groupe de menaces lié à l’État russe, connu sous le nom de Midnight Blizzard, a infiltré Microsoft via un compte ancien qui n’avait pas activé l’authentification multifactorielle (MFA).
Les attaquants ciblent également de plus en plus les fournisseurs d’identité et les gestionnaires de mots de passe. Okta, une autre entreprise impliquée dans les nouvelles spécifications, a subi une violation l’année dernière lorsque des attaquants ont utilisé des identifiants volés pour pirater le système de gestion des cas de support du fournisseur IAM et accéder aux données des clients. Bien que l’enquête initiale ait déterminé que l’attaque n’avait affecté que 1 % des clients, Okta a ensuite révélé que les attaquants avaient accédé aux informations de tous les clients et de certains employés. 1Password a confirmé qu’il faisait partie des clients concernés, bien qu’il n’ait pas été attaqué.
LastPass, un autre gestionnaire de mots de passe, a révélé une violation en 2022 après que des attaquants ont obtenu un accès non autorisé à un environnement de développement en compromettant le compte d’un développeur. Les informations affectées incluaient les noms des clients, les numéros de téléphone, les adresses de facturation et les URL non chiffrées de sites web.