Bitwarden acquiert Passwordless.dev pour aider les développeurs à proposer des solutions d'authentification sans mots de passe
aux entreprises et aux particuliers
La plate-forme de gestion de mots de passe open source Bitwarden a fait sa première acquisition connue, en reprenant une jeune startup suédoise appelée Passwordless.dev, qui se spécialise dans l'aide aux développeurs pour intégrer la technologie d'authentification sans mot de passe dans leurs logiciels.
Léger et open source, Passwordless.dev s'intègre facilement aux systèmes existants et permet aux développeurs d'apporter WebAuthn aux utilisateurs en seulement quelques lignes de code. Pour les entreprises cherchant à moderniser les applications internes existantes avec une authentification sans mot de passe, Passwordless.dev réduit les coûts et la complexité, offrant une solution clé en main et agile.
Semblable à d'autres services de gestion de mots de passe, Bitwarden est conçu pour permettre aux particuliers et aux entreprises de créer automatiquement des mots de passe difficiles à deviner et de les stocker tous dans un coffre-fort sécurisé. L'objectif ici est d'aider les internautes à ne pas réutiliser le même mot de passe prévisible sur tous leurs services en ligne. Le principal argument de vente de Bitwarden, cependant, est qu'il est open source (ou, du moins, qu'il est disponible en open source), ce qui signifie qu'il promet une transparence totale dans la base de code, tout en permettant à la communauté de contribuer et d'aider à développer de nouvelles fonctionnalités.
En fait, le code source de Bitwarden est hébergé sur GitHub, avec des dépôts séparés pour les projets de bureau, de serveur, de Web, de navigateur, de mobile et de ligne de commande. Il dispose de toutes les fonctionnalités des listes de contrôle des gestionnaires de mots de passe personnels commerciaux, y compris la synchronisation sécurisée dans le cloud. Si l’utilisateur n’est pas à l'aise avec le stockage de ses mots de passe dans le cloud Bitwarden, il peut héberger l'infrastructure sur votre propre serveur, en utilisant Docker.
Des atouts qui ont permis à Bitwarden, rival de 1Password et LastPass, d'annoncer son premier financement extérieur depuis sa création en 2015, obtenant 100 millions de dollars du PSG (pas le club de football, bien entendu) et de Battery Ventures. Avec cet investissement, Bitwarden a indiqué vouloir faire évoluer sa solution flexible et open source pour offrir des options de sécurité en ligne plus solides aux particuliers et aux entreprises.
La société a également profité de cette annonce pour dévoiler qu'elle avait levé des fonds en série A en 2019, sans pour autant divulguer le montant.
Les levées de fonds en série A entrent dans la catégorie du capital développement. Ces opérations sont destinées à financer l’accélération de la croissance de l’entreprise, à la fois interne et externe.
Pour envisager une levée de fonds en série A, il faut avoir un produit ou service sur le marché et qui suscite de l’intérêt, ainsi que des perspectives de développement et une vision claire de l’avenir. À ce stade, l’entreprise génère déjà du chiffre d’affaires. La série A s’adresse principalement aux entreprises qui veulent se développer sur leur marché à l’échelle nationale.
Les fonds levés dans le cadre d’une série A s’élèvent généralement à quelques millions d’euros.
La décentralisation du travail et le mélange d'appareils « personnels » et « de travail » ont obligé les individus à créer, gérer et mémoriser des dizaines d'informations d'identification en ligne. Cela conduit généralement à la réutilisation du mot de passe sur plusieurs comptes et expose les utilisateurs finaux au risque de vol de mot de passe. Les entreprises ressentent les effets d'une mauvaise hygiène des informations d'identification, une étude montrant que plus de la moitié des équipes informatiques ont signalé une cyberattaque au cours de l'année écoulée. De plus, les répercussions pour les particuliers et les entreprises à la suite d'une cyberattaque réussie sont considérables (du vol d'identité à la fraude financière) faisant des attaques de phishing et des menaces de mot de passe l'une des plus grandes vulnérabilités des organisations modernes.
En quoi l'acquisition de Passwordless.dev serait-elle stratégique ?
L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confronté à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont il peut faire l'objet.
De nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues. Dans le cadre de l'édition 2020 de la journée du mot de passe,
Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes.
Face à la situation, les grandes enseignes technologiques Google, Apple et Microsoft ont opté pour une approche sans mot de passe. L'année dernière, Apple, Google et Microsoft se sont associés pour soutenir une nouvelle norme de connexion sans mot de passe appelée WebAuthn, tandis qu'Apple a introduit séparément une nouvelle fonctionnalité appelée Passkey qui permet aux utilisateurs d'utiliser leur appareil Apple pour se connecter à des services en ligne sans mot de passe.
Les passkeys sont basées sur l'API d'authentification Web (WebAuthn), une norme qui utilise la cryptographie à clé publique au lieu des mots de passe pour authentifier les utilisateurs sur les sites Web et les applications, et sont stockées sur l'appareil plutôt que sur un serveur Web. Le remplacement du mot de passe numérique utilise Touch ID ou Face ID pour la vérification biométrique, ce qui signifie qu'au lieu d'avoir à saisir une longue chaîne de caractères, une application ou un site Web auquel vous vous connectez enverra une demande d'authentification à votre téléphone.
Bitwarden voudrait capitaliser sur cette tendance naissante dans le domaine de la sécurité en ligne, qui cherche à consigner les mots de passe dans les livres d'histoire (les mots de passe compromis, après tout, sont responsables de la plupart des failles de sécurité des entreprises).
Bitwarden propose déjà une certaine prise en charge de l'authentification sans mot de passe, comme les connexions biométriques pour les propres applications de Bitwarden, tout en prenant également en charge les clés de sécurité physiques d'authentification à deux facteurs (2FA) telles que YubiKey. Mais en prenant Passwordless.dev sous son aile, Bitwarden veut permettre aux développeurs d'intégrer plus facilement la connexion biométrique native dans leur logiciel, tout en permettant aux entreprises de moderniser leurs applications existantes qui reposent actuellement sur des mots de passe.
Fondé en Suède en 2020, Passwordless.dev est passé inaperçu depuis sa création. Mais la société fournit des API basées sur WebAuthn, une norme Web développée par l'Alliance FIDO et le World Wide Web Consortium (W3C) pour prendre en charge les connexions sécurisées par mot de passe. Passwordless.dev permet essentiellement aux développeurs d'intégrer WebAuthn aux logiciels avec quelques lignes de code, réduisant ainsi de nombreux coûts et complexités liés à l'introduction de l'authentification sans mot de passe dans les logiciels.
« La plupart des entreprises souhaitent investir dans des solutions sans mot de passe telles que Face ID, Touch ID, Windows Hello et d'autres formes d'authentification Web pour créer de meilleures expériences utilisateur et une sécurité renforcée », a déclaré Michael Crandell, PDG de Bitwarden. « Passwordless.dev permet aux développeurs et aux entreprises d'accélérer l'innovation sans mot de passe en simplifiant les efforts de développement en une seule API ».
« Les clients veulent des solutions d'authentification sans mot de passe uniques à leur entreprise et à leurs utilisateurs finaux, mais la création d'expériences différenciées nécessite beaucoup de ressources », a déclaré Anders Åberg, fondateur de Passwordless.dev. « Dans cette course vers des expériences en ligne sécurisées avec la puissance de FIDO2 pour atténuer les vecteurs d'attaque courants, Bitwarden et Passwordless.dev rendront le sans mot de passe plus accessible à tous ».
Déjà une version bêta de Passwordless.dev Bitwarden
Dans le cadre de cette annonce, Bitwarden a annoncé le lancement de la version bêta de Bitwarden Passwordless.dev, qui permet à tout développeur tiers d'intégrer une technologie de connexion biométrique telle que Touch ID, Face ID et Windows Hello dans ses applications.
« Cela permet d'économiser des semaines de codage d'implémentations de clé de passe à faire soi-même », a expliqué le PDG de Bitwarden, Michael Crandell. « Les entreprises disposent également d'applications professionnelles qui reposent toujours sur des mots de passe pour l'authentification et souhaitent offrir aux utilisateurs des expériences sans mot de passe. Bitwarden Passwordless.dev les aide à ajouter rapidement des fonctionnalités d'authentification WebAuthn et sans mot de passe dans ces applications ».
Passwordless.dev by Bitwarden sera gratuit pendant sa période bêta initiale au premier trimestre 2023, après quoi la société a annoncé qu'elle proposerait des forfaits payants couvrant certains niveaux d'utilisation et de fonctionnalités. Dans une FAQ sur son communiqué annonçant le rachat de la structure, Bitwarden a confirmé que Passwordless.dev continuera d'être proposé aux développeurs indépendamment des autres produits Bitwarden.
Les grandes enseignes technologiques plaident pour une authentification sans mots de passe
C'est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, qu'Apple, Microsoft et Google se sont exprimées. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes :
« L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée.
« Les capacités étendues basées sur des normes donneront aux sites Web et aux applications la possibilité d'offrir une option sans mot de passe de bout en bout. Les utilisateurs se connecteront par la même action qu'ils effectuent plusieurs fois par jour pour déverrouiller leurs appareils, comme une simple vérification de leur empreinte digitale ou de leur visage, ou un code PIN d'appareil. Cette nouvelle approche protège contre le phishing et la connexion sera radicalement plus sécurisée par rapport aux mots de passe et aux technologies multifactorielles héritées telles que les codes d'accès à usage unique envoyés par SMS ».
Des centaines d'entreprises technologiques et de fournisseurs de services du monde entier ont travaillé au sein de l'Alliance FIDO et du W3C pour créer les normes de connexion sans mot de passe qui sont déjà prises en charge par des milliards d'appareils et tous les navigateurs Web modernes. Apple, Google et Microsoft ont dirigé le développement de cet ensemble étendu de fonctionnalités et intègrent désormais la prise en charge dans leurs plateformes respectives.
Les plateformes de ces entreprises prennent déjà en charge les normes FIDO Alliance pour permettre une connexion sans mot de passe sur des milliards d'appareils de pointe.
Sources : annonce Bitwarden, Passwordless.dev
Et vous ?
Utilisez-vous un gestionnaire de mots de passe ? Comment le comparez-vous à l'offre concurrente ? Quels sont les critères qui vous ont amené à opter pour ce dernier plutôt que sur ceux d'autres éditeurs ?
Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
:fleche! Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adopté massivement par internet et les internautes ?
Les mots de passe ont-ils encore de beaux jours à venir selon vous ?
Voir aussi :
Faut il abandonner Lastpass pour d'autres gestionnaires de mot de passe comme Bitwarden ou 1Password ? Oui, selon des experts qui évoquent « sa longue histoire d'incompétence et de négligence »
Un grand pari pour éliminer le besoin de mots de passe dans le monde, la FIDO Alliance affirme avoir trouvé la pièce manquante sur la voie d'un avenir sans mot de passe
Partager