– Article invité, rédigé par Vincent Lautier –
À l’occasion du World Password Day, Microsoft rebaptise l’événement “World Passkey Day” et impose désormais la connexion sans mot de passe pour tous les nouveaux comptes. Une décision qui fait du bruit dans un contexte de cybermenaces permanentes.
Mot de passe oublié ? Ce sera bientôt de l’histoire ancienne
Microsoft vient donc de franchir une étape importante dans sa lutte contre les mots de passe. Dorénavant, tout nouveau compte Microsoft sera configuré sans mot de passe par défaut. Lors de l’inscription, l’utilisateur ne sera plus invité à créer un mot de passe, mais à choisir parmi des méthodes d’authentification plus sécurisées : passkeys, clés de sécurité, authentification à deux facteurs ou Windows Hello. Ce changement fait partie d’un plan plus large, entamé depuis plusieurs années, dans le but d’éliminer totalement l’utilisation de mots de passe. Pour les comptes existants, Microsoft propose aussi une option dans les paramètres pour supprimer son mot de passe manuellement.
La fin d’un modèle devenu trop risqué
Ce revirement n’est pas un caprice ni un surprise : Microsoft fait face à une explosion des cyberattaques ciblant les mots de passe. En 2024, l’entreprise a recensé 7 000 attaques par seconde, soit plus du double par rapport à l’année précédente. Les mots de passe faibles ou réutilisés (souvent des suites comme « 123456 » ou des prénoms) facilitent grandement le travail des attaquants. Même les systèmes avec double authentification sont vulnérables en cas de phishing bien exécuté. Microsoft veut couper court à toutes ces menace en imposant des méthodes dites « résistantes au phishing », comme les passkeys standardisées par la FIDO Alliance. Ces dernières ne peuvent être ni interceptées, ni réutilisées, car elles reposent sur une cryptographie asymétrique unique à chaque appareil.
Une nouvelle expérience utilisateur
Pour faciliter cette transition, Microsoft a revu l’interface de connexion. Désormais, la plateforme détecte automatiquement la méthode de connexion la plus sécurisée disponible sur le compte, et la propose par défaut. Par exemple, si un utilisateur a configuré un code à usage unique en plus d’un mot de passe, c’est le code qui sera demandé. Une fois connecté, il sera invité à enregistrer une passkey pour les connexions futures. Cette refonte de l’expérience utilisateur a pour but de rendre le processus plus fluide, en limitant les choix complexes. Lles premiers résultats semblent positifs : Microsoft affirme que ce nouveau modèle a déjà permis de réduire l’usage des mots de passe de 20 %.
Passkeys : un standard universel ?
Derrière cette évolution, on retrouve les travaux de la FIDO Alliance, un consortium industriel soutenu par Google, Apple et Microsoft. L’objectif est de faire des passkeys une norme d’authentification universelle. Contrairement aux mots de passe, ces clés ne quittent jamais l’appareil de l’utilisateur, ce qui empêche toute forme de vol via le réseau. Elles peuvent s’utiliser avec la reconnaissance faciale, une empreinte digitale ou un code local, selon les capacités de l’appareil. Des millions de sites et d’applications les prennent déjà en charge, en particulier en Chine où l’adoption est massive. Microsoft affirme enregistrer près d’un million de passkeys créées chaque jour, avec un taux de succès de connexion de 98 %, contre seulement 32 % pour les mots de passe classiques (je confirme, me connecter à mon compte Microsoft avec un mot de passe me prend toujours un temps interminable).
Si cette transition semble inévitable, elle est loin d’être généralisée. De nombreux services tiers comme les banques forums ou petits sites, reposent toujours sur des mots de passe traditionnels. Pour les utilisateurs, cela implique de conserver un gestionnaire de mots de passe à jour. Microsoft encourage tout de même les internautes à basculer vers une approche hybride, en supprimant les mots de passe des services compatibles, et en sécurisant les autres via des outils robustes. L’entreprise admet que le changement est progressif, mais espère qu’en rendant le sans mot de passe par défaut, les usages finiront par s’aligner naturellement.
Une pression accrue sur les retardataires
Le passage au sans mot de passe n’est pas sans conséquences pour les comptes encore protégés de manière traditionnelle. Microsoft alerte sur une hausse de la pression exercée par les attaquants sur ces cibles plus vulnérables. Le message est le suivant : conserver un mot de passe devient un risque en soi. La meilleure défense reste l’abandon pur et simple de ce modèle d’authentification. En l’état, seuls 6 % des mots de passe utilisés seraient réellement uniques. Pour le reste, l’exposition est encore maximale.
Article publié par Vincent Lautier, invité par Korben. Vous pouvez me suivre sur Bluesky, faire un saut sur mon blog pingoo.com ou lire les tests que je publie dans la catégorie “Gadgets Tech”, comme ce routeur 5G, cette voiture téléguidée ou ce SSD minuscule !
Source link
Subscribe to our email newsletter to get the latest posts delivered right to your email.
Comments