Pour la plupart des utilisateurs de smartphones, déplacer des identifiants numériques entre différentes applications de gestion a longtemps été un processus fastidieux et peu sécurisé. La méthode standard consiste généralement à exporter un coffre-fort dans un fichier CSV en texte brut. Cependant, une nouvelle norme technique commence à modifier la manière dont ces données circulent entre les plateformes. Dashlane a récemment annoncé la mise en œuvre des spécifications Credential Exchange (CX) de la FIDO Alliance pour Android.
Ce développement vise à remplacer les exportations de fichiers risquées par un protocole de transfert direct et crypté entre applications. Un CSV en texte brut est essentiellement une feuille de calcul numérique qui laisse chaque mot de passe, note et numéro de carte de crédit exposés dans le stockage d’un appareil. En s’éloignant du modèle « vault.csv », le système réduit la fenêtre d’opportunité de vol de données locales lors d’une transition.
Dashlane adopte la norme FIDO pour remplacer les exportations CSV non chiffrées sur Android
Le passage au nouveau protocole est une réponse de l’industrie aux besoins actuels. Les clés d’accès sont des informations d’identification cryptographiques nettement plus sécurisées que les mots de passe traditionnels. Parce qu’ils sont liés à un matériel spécifique ou à des environnements chiffrés, ils ne peuvent pas être copiés dans une simple feuille de calcul pour un transfert manuel.
Le protocole Credential Exchange crée une « poignée de main » sécurisée entre deux applications, permettant à ces informations d’identification complexes de se déplacer sans perdre leur intégrité cryptographique. Cela garantit que les utilisateurs qui ont commencé à adopter des connexions sans mot de passe ne sont pas « bloqués » par un seul fournisseur simplement parce qu’ils n’ont pas de moyen d’exporter leurs clés.
L’obstacle de l’adoption
Cette technologie est désormais disponible sur l’application Dashlane pour Android depuis le 25 février. Cependant, il existe un obstacle commun au secteur à résoudre : l’interopérabilité. Pour qu’un transfert direct fonctionne, l’application qui envoie les données et celle qui les reçoit doivent prendre en charge la même norme FIDO.
Actuellement, plusieurs acteurs majeurs, dont Google Password Manager et d’autres gestionnaires tiers populaires, sont encore en train de mettre en œuvre ces spécifications. Ils doivent rattraper leur retard afin que les utilisateurs puissent profiter de cette infrastructure pour se déplacer en toute sécurité. Dans ces cas-là, la méthode CSV traditionnelle, moins sécurisée, reste la seule option.
