La fin des mots de passe ? C’est la mission assumée de l’Alliance FIDO (Fast IDentity Online). Depuis 2013, cette association industrielle a pour objectif de promouvoir d’autres normes d’authentification, notamment la biométrie. Trois de ses membres – et non des moindres – ont annoncé le 5 mai dernier vouloir quitter totalement le système des mots de passe au profit d’accès biométriques. Google, Apple et Microsoft y travaillent depuis des années et sont en passe de réaliser cette transition, du mot de passe au passkey, clé biométrique qui permet l’accès à nos différents services digitaux.

Pourquoi abroger l’idée du mot de passe ? Parce que les failles sont trop grandes. Les mots de passe sont souvent trop simples, identiques pour plusieurs services en lignes et trop facilement piratables. Où il est relativement aisé de dérober un mot de passe, il est nettement plus compliqué d’obtenir l’empreinte digitale, l’iris ou le visage de quelqu’un. Nous gagnerions ainsi en sécurité et en simplicité.

Comment ça marche ? Ce seraient les smartphones qui posséderaient les données d’identification de l’individu et tout resterait chiffré sur le téléphone sans aller sur les serveurs de Google, Apple ou Microsoft. Nos téléphones deviendraient les points d’entrées directs pour le web. Après vérification de notre empreinte digitale, l’authentification parviendrait aux différents services en ligne que nous compterions utiliser.

Au-delà de l’avancée technique générale que représente ce projet et des aspects d’interopérabilité entre les différents systèmes (pouvoir utiliser son téléphone Apple pour se connecter via Google à un service Microsoft), d’autres questions plus larges se posent. D’abord, quid de la protection de nos données ? Les géants du web assurent qu’ils n’auront aucun accès à ces dernières, il s’agira de le démontrer dans les faits. Ensuite, quid de la cybersécurité à cet égard ? Autant nous gagnerions en sécurité, autant, une fois nos données biométriques piratées, c’est l’ensemble des services auxquels nous avons accès qui seraient instantanément hors de notre portée. Puis, comment prouver que nous avons été hacké si le pirate détient les données de notre empreinte, notre visage ou notre iris ?

Le cadre légal et les pratiques qui entoureront cette avancée seront de première importance. Hasard du calendrier, une pétition « Stop à la reconnaissance faciale » est en marche, visant à minimiser la présence de cette technologie. C’est une thématique qui devrait donc naître à court terme, tant dans le jeu politique que dans nos pratiques sociales.