Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Les nouveaux comptes Microsoft « n’auront jamais besoin d’enregistrer de mot de passe »

Passe Khey !

Les nouveaux comptes Microsoft « n’auront jamais besoin d’enregistrer de mot de passe »

Dix ans après avoir annoncé vouloir se débarrasser des mots de passe et permettre à ses utilisateurs de se connecter de façon sécurisée à leurs comptes à l'aide de leur visage, de leurs empreintes digitales ou de leur code PIN, Microsoft exigera que ses nouveaux utilisateurs s'authentifient avec une « clef d'accès ».

Le 05 mai à 08h38

Pour sa douzième édition, le premier jeudi du mois de mai, la « Journée mondiale du mot de passe » a été renommée « Journée mondiale de la clé d'accès » (« World Passkey Day ») par l'alliance FIDO (pour « Fast IDentity Online », en anglais). Cette dernière vise à développer et promouvoir des normes d'authentification qui « contribuent à réduire la dépendance excessive du monde aux mots de passe ».

Microsoft, en phase avec l’annonce de l’alliance FIDO, en a profité pour annoncer la poursuite de sa « transition vers un monde sans mots de passe en introduisant plusieurs changements significatifs », à commencer par le fait que les nouveaux comptes Microsoft seront désormais « sans mot de passe par défaut » (« passwordless by default », en VO).

Les nouveaux utilisateurs disposeront de plusieurs options d'authentification plus sûres (telles que la biométrie, les codes PIN ou les clés de sécurité pour se connecter à leur compte), « et ils n'auront jamais besoin d'enregistrer un mot de passe ». Les utilisateurs existants peuvent de leur côté se rendre dans les paramètres de leur compte pour supprimer leur mot de passe, précise Microsoft.

99 % se connectent à leur compte Microsoft à l'aide de Windows Hello

L’entreprise souligne qu'« aujourd'hui, plus de 99 % des personnes qui se connectent à leurs appareils Windows avec leur compte Microsoft le font à l'aide de Windows Hello », le service qu'elle avait lancé en 2015 pour se débarrasser des mots de passe et permettre à ses utilisateurs de se connecter de façon sécurisée à leurs comptes à l'aide de leur visage, de leurs empreintes digitales ou de leur code PIN.

Microsoft souligne que « parce qu'ils ne saisissent pas de caractères complexes ou de codes à usage unique, les utilisateurs qui se connectent à l'aide d'une passkey réussissent trois fois mieux à accéder à leur compte que les utilisateurs de mots de passe (environ 98 % contre 32 %) » :

« L'année dernière, nous avons introduit la prise en charge des passkeys pour les comptes Microsoft dans nos applications et services grand public tels que Xbox et Copilot, et nous enregistrons aujourd'hui près d'un million de passkeys par jour. »

35 % des sondés ont au moins un compte compromis à cause de leur mot de passe

L'Alliance FIDO publie de son côté un sondage avançant que l'an passé, « plus de 35 % des personnes avaient au moins un de leurs comptes compromis en raison de vulnérabilités de mot de passe » :

« De plus, 47 % des consommateurs abandonneront leurs achats s'ils ont oublié leur mot de passe pour ce compte particulier. Ceci est important pour l'adoption des clés d'accès, car 54 % des personnes familiarisées avec les clés d'accès les considèrent comme plus pratiques que les mots de passe, et 53 % pensent qu'elles offrent une plus grande sécurité. »

Elle relève également que 74 % des consommateurs connaissent les clés d'accès, et 69 % y ont recours « sur au moins un de leurs comptes ». Parmi ceux-ci, 38 % déclarent les autoriser autant que possible. Et plus de la moitié des consommateurs estiment que les clés d'accès sont à la fois plus sécurisées (53 %) et plus pratiques (54 %) que les mots de passe.

Le sondage en ligne SurveyMonkey a été réalisé du 13 au 14 avril 2025 auprès d'un échantillon mondial de 1 389 adultes âgés de 18 ans et plus aux États-Unis, au Royaume-Uni, en Chine, en Corée du Sud et au Japon.

Reste cela dit à savoir si l'expression « Journée mondiale de la clé d'accès » fera florès en France.

Commentaires (39)

votre avatar
J'utilise effectivement mes Yubikey dès que l'occasion est possible. Cela dit, je regrette l'implémentation à géométrie variable, y compris chez des grosses boîtes de la Tech.

Le premier exemple qui me vient est Paypal : on ne peut associer qu'une seule clé. C'est idiot et fait perdre l'intérêt de la clé de backup.

Ce week end j'ai découvert aussi l'implémentation moisie d'Amazon (partie ecommerce). Comme j'en ai eu marre des OTP par SMS activés du jour au lendemain, j'ai voulu voir les options disponibles. Déjà, c'était planqué comme s'ils n'en voulaient pas. J'ai pu associer mes deux clés, mais ils ne s'en servent que pour le premier facteur d''authentification ! L'OTP reste requis. J'ai pu associer celui généré par Keepass, le SMS me saoulait, je n'ai pas mon tel greffé à la main.
Et c'est pas dispo sur le compte KDP alors qu'il est pourtant lui aussi sensible avec les informations bancaires pour le paiement des royalties et les infos fiscales (il ne propose que l'OTP par SMS...).

En dehors de ça, les autres que j'ai expérimenté le gèrent bien : GitHub, Discord, Mastodon, etc. Je regrette que Bluesky ne supporte toujours rien d'autre que le MFA par mail.

Les Yubikey apportent vraiment un sacré confort d'usage sinon. L'appli Yubikey Authenticator est pratique aussi pour gérer de l'OTP, elle remplace petit à petit Google Authenticator chez moi.
votre avatar
Une feature intéressante avec la Yubikey (mais pas que), c'est le logoff (Windows, je ne sais pas chez les autres) automatique dès que la clé est enlevée de son port USB (cf commentaires en dessous).
votre avatar
Comme ça, fini la protection de la vie privée par pseudonyma.
Chaque humain sera définitivement la proie aux vendeurs de tout chemin qui auront réussi à connaître son email, plus de compte fake pour éviter les spams, etc etc etc ...

Il n'y aura plus que le surf sur les sites de prune qui se fera par mot de passe !
(Et le jour où ils imposeront une clé d'authentification biométrique, je te dis pas l'explosion du nombre de scandales dont le nom se termine en XXXstein :mdr2:)
votre avatar
Il n'y aura plus que le surf sur les sites de prurne qui se fera par mot de passe !
Je suppose que tu parles des sites de :bocul: ? Avec les lois poussées aux US ces derniers temps pour renforcer le contrôle de majorité, ils sont désormais en grande partie derrière authentication wall (au moins tous ceux domiciliés aux USA).
votre avatar
La statistique de 99% d'utilisateurs de Windows Hello est vraiment trompeuse, elle a peu de rapport avec les passkeys.

Windows Hello permet d'utiliser un simple code PIN de 6 chiffres pour déverrouiller sa session Windows, au lieu de taper un truc alphanumérique+caractères spéciaux de 12 caractères, alors forcément ça à du succès, mais ça ne veut pas pour autant dire que ces 99% d'utilisateurs ont activé le passkeys.

D'ailleurs je me demande ce que c'est les 1% restants.
Les gens qui ont contourné les dark patterns pour utiliser des comptes locaux à la place de comptes Microsoft ?
Les entreprises comme la mienne qui bloquent l'accès à Windows Hello pour une raison quelconque ?
votre avatar
Tu penses donc qu'une entreprise ne va pas laisser une connexion avec un simple PIN !

Il suffit que le gars soit parti pisser en laissant son dongle USB dans le PC pour que son collègue de travail qui l'aura vu taper son PIN envoie un mail à toute l'entreprise (ou pire, hein ...).
votre avatar
En vrai... Oui...
Sachant qu'un PIN peut aussi être alphanumérique (je crois que c'est imposé par GPO dans mon entreprise), mais pas sur que ce soit configuré correctement partout...

Le plus drôle c'est qu'il y a un bug qui peut empêcher le changement du code PIN ^^
votre avatar
@Totoroot
Par définition, un code PIN c'est numérique! Alpha-numérique, c'est un mot de passe:
fr.wikipedia.org Wikipedia

Au contraire des mots de passe, le code PIN est restreint aux seuls caractères numériques, car le clavier sur lequel il est composé se limite généralement aux touches numériques (terminal de paiement électronique, clavier téléphonique…).

L'imposer sur un truc avec un clavier complet c'est juste de la connerie en barre, cf mon autre message. J'assimile cela à "pour tuer son chien, dire qu'il a la rage" pour ma part.
votre avatar
Je suis d'accord avec toi, mais pour windows Hello, on peut mettre un PIN alpha numérique... J'ai pas dit que ça avait du sens, attention 😁

Edit : lien vers article en parlant next.ink Next
votre avatar
"Tu penses donc qu'une entreprise ne va pas laisser une connexion avec un simple PIN !"

Si si. Ca se fait ! :D
votre avatar
Vu le nombre de personnes qui laissent leur session ouverte en partant du poste, aucun besoin du PIN pour aller sur le compte du collègue.
votre avatar
C'est le cas dans ma boite... et j'ai la quasi certitude que presque chaque personne utilise un truc basé sur une date de naissance (enfant etc)
votre avatar
Motif sur le clavier, surtout: Y faire un Z (7895123) semble par exemple très fréquent a regarder autour de moi...
votre avatar
Ça promet des invitations à des déjeuners tous les jours de travail ! On va devenir obèses à cause de la 2FA...
votre avatar
Mon message était un peu réducteur sur Windows Hello.
Ça inclut certes le code PIN basique, mais ça englobe aussi les capteurs biométriques comme le lecteur d'empreinte digitales et les caméras compatibles Hello (il y a des capteurs en plus, c'est pas les webcam 360p à 2€).

Mais comme je parlais de statistique bidon, j'ai surtout insisté sur le code PIN, parce qu'il fait gonfler le taux d'adoption de Windows Hello, tout en affaiblissant la sécurité.
votre avatar
Bah Windows Hello, ne gère pas que le PIN, il y'a aussi l'empreinte, ou la reconnaissance faciale
votre avatar
J'avoue que j'ai un peu de mal à voir le progrès d'accepter un truc limitant aux 10 chiffres sur 6 positions imposées, soit 10^6 possibilités.
Pour tomber sur ce nb de possibilités avec un alphabet complet min/maj de 26*2, les 10 chiffres et les 15 caractères spéciaux qu'on accède facilement sur tout clavier international et sur N positions, on a 77^N possibilités.
On a donc des combinaisons identiques pour N=6*ln10/ln76, cad que l'on est proche d'un passwd classique de 3 caractères et que dès 4 on est déjà largement meilleur que ces pin.
Pour les banques qui imposent aussi des PIN mais à 8 chiffres, dès 5 caractères parmi 77 on est largement meilleur (et quand on en était aux mots de passe, elles en imposaient en général 8!).
Tout cela pourquoi: 90% des gens font un motif géométrique sur un clavier numérique et mettent le même partout car cela rends impossible toute stratégie de création de mots de passes individualisés nécéssitant un jeu de caractères complet, basés par exemple sur une partie centrale fixe de 4 à 6 caractères incluant des spéciaux/chiffres, un préfixe sur le champ d'application (comptes sociaux, mail, e-commerce, compte perso/PC) et un suffixe basé sur le nom du service/machine (1ere et/ou dernière lettre, toutes les syllabes...).
C'est vraiment une approche de contrainte sur les mots de passe absolument stupide car elle limite par conception l'entropie, ruine ses stratégies de création de mdp... et au final on impose des méthodes d'authentification limitées contrebalancées par des doubles auth et autres clef qui ne permettent pas de se loguer avec juste le contenu de sa tête.
votre avatar
Le code PIN est lié à un compte et un appareil, le mot de passe est lié uniquement à un compte. Le code pin est normalement créé avec une preuve de l'identité (MFA ou procédure).
D'autre part le but est d'utiliser d'autres moyens que le PIN qui est normalement un "dernier recours".

Mais peu de gens vont appliquer cela ... pour eux le pin à 4 chiffres c'est top ça évite de se rappeler le MDP...
votre avatar
Le gros "moins", c'est qu'il faut le Microsoft Authenticator, sinon, le mot de passe reste obligatoire !

Pourquoi faire simple quand on peut abuser de sa position dominante…
votre avatar
Effectivement, c'est une sacrée limitation. Encore une belle microsofterie...
votre avatar
Hé bien, ils peuvent toujours aller se faire voir... 🤗
votre avatar
Bientôt un nouvel article actualisé sur ces clés ? 😇
votre avatar
Oui, s'il vous plait. Avec dissociation clé physique (genre Onlykey, Yubico & Co) et clé logicielle (Proton Pass, Vaultwarden etc.)
votre avatar
permettre à ses utilisateurs de se connecter de façon sécurisée à leurs comptes à l'aide de leur visage, de leurs empreintes digitales ou de leur code PIN.
permettre à Microsoft d'identifier un individu spécifique.
:cap:

Vous pensiez pouvoir utiliser un compte à plusieurs ? Ou laisser vos identifiants à un collègue pendant vos congés ? Que nenni ! Pour des raisons de sécurité, Microsoft a besoin de différencier chaque individu de la planète qui utilise Windows.
votre avatar
Vous pensiez pouvoir utiliser un compte à plusieurs ? Ou laisser vos identifiants à un collègue pendant vos congés ?
Ouais, enfin ça reste de grosses conneries en termes de sécu les comptes partagés.
votre avatar
Sur un PC familial ?
votre avatar
Le terme "collègue" m'a plutôt fait comprendre un contexte pro.
votre avatar
et je confirme que mm en contexte pro on n'a pas besoin qu'une multinationale américaine puisse différencier si c'est Josseline qui s'est connectée au PC de Michel pour récupérer un fichier draft en local, ou si c'est vraiment Michel.

Que l'IT de l'entreprise veuille différencier les deux, je le comprends. Que le marchand qui a vendu l'OS veuille le savoir, je ne vois pas son intérêt.

Sauf... sauf si l'entreprise a décidé de déléguer sa sécurité informatique à Microsoft. Et là, pour plagier un commentateur célèbre, je dirais:
ça reste une grosses conneries en termes de sécu
votre avatar
Pour le coup, je parle d'un concept de base de sécurité IT : on ne partage pas son compte, et on n'utilise pas de compte générique. L'entreprise doit être capable de dire qui a accédé à quelle donnée à un moment donné.

L'histoire de la multinationale US n'a rien à voir là dedans.

Surtout que les données sont déjà chez la multinationale US : les données du poste de travail (OneDrive / Sharepoint), les données d'identification du poste de travail (poste dans le domaine Entra ID), et les données du compte utilisateur (profile géré par l'Entra ID - potentiellement fédéré par un système maître).

En fait, je ne vois pas trop ce qu'il y a de nouveau pour la gestion de postes en entreprise. C'est dans le domaine familial que c'est devenu relou de lier Windows à un compte Microsoft. En entreprise, le compte Microsoft, c'est celui lié à la souscription de l'Entra ID derrière (là où avant c'était un AD on premise, il s'est "juste" cloudifié depuis même si ça existe toujours avec ADDS). Sauf si l'entreprise a envie d'utiliser des comptes perso...

On en revient à la même citation.

Après, il reste le choix de ne pas utiliser l'écosystème Microsoft.
votre avatar
Et tu d'accord pour que Microsoft gère les comptes de tous les ordinateurs du monde avec de la biométrie ? (par tous je veux dire windows, linux, android, ios, web, nextinpact...)

Et si non, pourquoi ?
votre avatar
Je ne vois pas la pertinence de la question.

Et je n'ai pas exprimé de position quant à cette feature précise, donc j'espère que tu ne m'attribues pas une posture erronée.
votre avatar
J'ai déduis de ton commentaire précédent que

1. tu trouvais acceptable que Ms gère de-facto l'audit-trail des entreprises qui utilisent un service de Microsoft, au prétexte que lorsqu'on un service de Microsoft alors on n'a rien à cacher à Microsoft.

2. qu'il était acceptable que Microsoft impose la méthode d'authentification à ses services, y compris lorsque cette méthode permet de différencier physiquement deux individus.

Pour finir sur une remarque du genre "Microsoft tu l'aimes comme il est ou tu le quittes".

Perso je pense que Ms a déjà suffisamment pris le contrôle sur les systèmes informatiques et qu'il devrait rendre ce contrôle aux clients. Si un client (moi) ne veut pas utiliser de passkey, ne veut pas utiliser de biométrie ou ne veut pas que Ms trace ses activités, je devrais pouvoir opt-out.

Quand j'accepte qu'une entreprise trace mes activités sur son système informatique (on a tous signé un papier dans ce sens), ca ne veut pas dire que j'accepte que Microsoft puisse le faire également.
votre avatar
OK j'ai compris la confusion.

J'ai l'habitude de faire abstraction des outils quand je parle de concepts. Depuis le début je ne parlais que des concepts sécurité, pas de l'implem Microsoft voulue.

Cependant, pour l'aspect "tu l'aimes ou tu quittes", c'est la vérité du SaaS. Il faut arrêter de voir l'écosystème Windows / Microsoft comme un OS installé sur des PC. Toute l'offre est en SaaS et Windows n'est qu'un client pour Office 365, Azure AD/Entra ID, et j'en passe.

De ce fait, le client se retrouve pieds et poings liés par les lubies de l'éditeur.

Lorsqu'on travaille avec du SaaS, ce n'est plus de la technique, mais de la gestion du risque et du juridique. Ce qui fait foi, c'est le contrat avec l'éditeur qui va contenir les responsabilités de chaque parties, les engagements mutuels, etc. Microsoft va jurer la main sur le coeur ne pas renifler les données d'audit dans le tenant Entra ID du client, mais ça c'est une ligne sur un contrat. La technique : le client ne la maîtrisera pas et il ne pourra jamais rien démontrer.

Sinon, voici un élément de réponse :

J'utilise un pattern sur Android. Depuis quelques versions, c'est devenu chiant et les points n'accrochent plus très bien, m'obligeant à reprendre à plusieurs fois. Je soupçonne une volonté de rendre ce moyen de déblocage inconfortable pour forcer l'empreinte digitale (que j'ai du skip une bonne dizaine de fois).
Sur le Windows du PC de jeux, je refuse une à deux fois par semaine le "Windows Hello" qui pop à l'ouverture de session, préférant mon code PIN. Même chose pour le client Microsoft qui m'a été donné en guise de PC chez le client.
Mes Yubikey sont des modèles 5 USB-C et USB classique NFC seul.

Je ne sais pas si c'était de moi dont tu parlais quand tu évoquais le "célèbre commentateur", mais je pense que mes positions sur la gestion des données personnelles par les entreprises de la Tech (et ma haine - je n'ai pas peur du mot -, de celles-ci) n'est pas un secret ici.

Avec ces choix, penses-tu que je suis favorable à l'usage des données biométriques par ces entreprises ?

Je trouve ça regrettable qu'il soit impossible d'avoir une discussion sans se voir prêter une quelconque allégeance à quelque chose. C'est même cocasse, car je me rappelle avoir été considéré comme un idiot parano une fois ici quand j'avais évoqué mon manque de confiance dans cette méthode d'accès à un terminal.
votre avatar
J'ai l'habitude de faire abstraction des outils quand je parle de concepts. Depuis le début je ne parlais que des concepts sécurité, pas de l'implem Microsoft voulue.
Ah, forcément, on ne pouvait pas se comprendre. :smack:

Je commentais la news et, par extension, la tendance de Ms à réduire la liberté de choix de ses clients. Perso, je n'ai rien contre la biométrie tant que c'est moi qui décide quand et où l'utiliser.

Je n'aurais aucun problème à devoir déverrouiller MA base keypass LOCALE avec mon empreinte digitale pour accéder à une passkey générée aléatoirement.

Mais j'ai un problème à devoir générer des passkey avec mon empreinte digitale et devoir en déverrouiller l'accès avec un code pin. :mad2:
votre avatar
Perso je n'ai toujours pas compris ce que c'était du coup je préfère mon mot de passe vu qu'on'a toujours enseigné que la révocabilité est essentielle en sécurité et que je ne peux pas révoquer mon visage ou mon empreinte digitale...
votre avatar
C'est révocable.

La biométrie ne sert pas de mot-de-passe: elle sert à accéder au mot-de-passe.
(qui n'est pas un mot-de-passe mais plutôt un challenge de chiffrement avec clé publique/privée)

#AnalogieFoireuse
votre avatar
99%, mais bien sûr :roll:
votre avatar
Mouais, dans mon entourage ça à l'air d'avoisiner le 0%…
votre avatar
J'avoue ne pas comprendre ce concept de compte Microsoft pour un PC (ordinateur personnel).

Perso j'ai un compte Microsoft qui ne sert à rien sauf à associer mon hardware à ma licence Windows.
Puis des comptes utilisateurs locaux pour moi et ma femme.

Les nouveaux comptes Microsoft « n’auront jamais besoin d’enregistrer de mot de passe »

  • 99 % se connectent à leur compte Microsoft à l'aide de Windows Hello

  • 35 % des sondés ont au moins un compte compromis à cause de leur mot de passe

Fermer