Android possède maintenant la certification de la norme d'authentification FIDO2, ce qui signifie que les personnes qui utilisent le système d'exploitation mobile de Google pourraient bientôt être en mesure de renoncer aux mots de passe lorsqu'elles se connectent à des applications et sites Web sur leurs appareils fonctionnant sous Android, ont annoncé conjointement lundi l'Alliance Fast IDentity Online (FIDO) et Google.
Au lieu de mots de passe, les utilisateurs d'Android pourront se connecter avec le lecteur d'empreintes digitales de leur appareil ou avec une clé de sécurité compatible FIDO, selon le communiqué de presse publié lors du Mobile World Congress (MWC) à Barcelone, Espagne.
« Les développeurs Web et d’applications peuvent désormais ajouter l'authentification forte FIDO à leurs applications et sites Web Android via un simple appel API, pour apporter une sécurité sans mot de passe et résistante au phishing à une base en pleine expansion d'utilisateurs finaux qui possèdent déjà des appareils Android leaders ou qui feront la mise à niveau vers de nouveaux appareils dans le futur, » indique le communiqué, qui précise également que « tout appareil compatible utilisant Android 7.0+ est maintenant certifié FIDO2 Certified prêt à fonctionner ou après une mise à jour Google Play Services automatiques. » La prise en charge du schéma d'authentification FIDO2 est également déjà intégrée dans les principaux navigateurs Web.
Cependant, des exigences supplémentaires sont requises, d’abord pour les développeurs d'applications et de sites, qui devront également mettre en œuvre la prise en charge de FIDO2. De plus, seuls les propriétaires d'appareils fonctionnant sous Android 7.0 ou supérieur pourront utiliser la biométrie de leur téléphone ou se connecter à l’aide de clés de sécurité matérielles. En fait, de nombreux utilisateurs d'Android font déjà l'expérience avec l'authentification biométrique dans certaines applications, car de nombreuses applications, par exemple dans le secteur bancaire, prennent déjà en charge les connexions sans empreinte digitale ou n’importe quel autre type de connexions sans mot de passe.
Cela dit, le potentiel de croissance est important, car environ la moitié des deux milliards d'utilisateurs d'Android utilisent présentement Android 7.0 ou plus récent.
Puisque les données biométriques peuvent être plus difficiles à voler ou à pirater que de nombreux mots de passe, le fait de ne pas avoir besoin de mots de passe améliore considérablement la protection contre les escroqueries par hameçonnage et autres attaques qui reposent sur le vol des identifiants de l’utilisateur. De plus, l'authentification s'effectue sur l'appareil lui-même, ce qui signifie qu'aucune donnée d'authentification n'est transmise ou détenue par les applications ou les sites Web - un avantage également mentionné à The Verge par Christiaan Brand, gestionnaire de produits d'identité et de sécurité chez Google :
« L’élément important, et souvent oublié, de cette technologie n'est pas de permettre aux utilisateurs d'utiliser la biométrie pour se connecter, mais plutôt de passer d'un modèle de « secret partagé » - dans lequel vous et le service avec lequel vous interagissez devez avoir en commun certains secrets comme votre mot de passe - à un modèle « asymétrique », où vous devez seulement prouver que vous possédez le secret, auquel le service à distance n’a pas accès. »