Les spécifications de l’Alliance FIDO reconnues comme normes internationales de l’UIT
décembre 2018 par Marc Jacob
L’Alliance FIDO, consortium international développant des standards d’authentification ouverts et interopérables, annonce que deux de ses spécifications sont désormais reconnues comme normes internationales par le Secteur de la normalisation des télécommunications de l’Union internationale des télécommunications (UIT-T). Ce jalon établit FIDO UAF 1.1 et CTAP comme normes officielles de l’UIT (Recommandations UIT-T) pour l’infrastructure mondiale des technologies de l’information et de la communication (TIC).
L’UIT-T est l’organe de normalisation de l’UIT, l’agence des Nations Unies pour le développement, spécialisée dans les technologies de l’information et de la communication. L’Alliance FIDO a fait l’objet d’un processus rigoureux avant que ses spécifications ne soient approuvées en tant que Recommandations officielles de l’UIT-T par les membres de l’UIT, incluant des administrations nationales et des entreprises IT de premier plan dans le monde. Les nouvelles recommandations de l’UIT-T sont élaborées sous la responsabilité du groupe d’experts de la normalisation de l’UIT pour la sécurité, la Commission d’études 17 de l’UIT-T.
« L’Alliance FIDO s’efforce d’améliorer l’authentification en ligne grâce à des normes ouvertes basées sur la cryptographie à clé publique, qui rendent l’authentification plus solide et plus facile à utiliser que les mots de passe habituels ou les mots de passe à usage unique. L’une des façons de mener à bien cette mission est de soumettre nos spécifications techniques avancées à des groupes de normalisation reconnus à l’échelle internationale, tel que l’UIT-T, en vue d’une normalisation officielle, explique Brett McDowell, directeur exécutif de l’Alliance FIDO. Cette reconnaissance de l’UIT-T, l’échelon le plus élevé en matière de normalisation des TIC, illustre la maturité de la technologie d’authentification FIDO, et complète notre travail de normalisation sur internet avec le World Wide Web Consortium (W3C). »
« La Commission d’études 17 de l’UIT-T continue de renforcer sa collaboration avec l’Alliance FIDO. Ces deux spécifications, récemment adoptées en tant que normes de l’UIT, sont largement utilisées dans divers secteurs industriels, tels que le secteur financier, pour fournir une authentification en ligne solide basée sur la cryptographie à clé publique, et diverses autres méthodes de vérification des utilisateurs, indique Heung Youl Youm, président de la Commission d’études 17 de l’UIT-T. Ces nouvelles normes de l’UIT serviront de base concrète aux deux spécifications de FIDO, qui seront adoptées par les 193 États Membres de l’UIT. »
« Notre groupe de travail au sein de la Commission d’études 17 de l’UIT-T s’est réjoui de pouvoir collaborer avec l’Alliance FIDO pour promouvoir la normalisation des technologies de sécurité les plus récentes, déclare Abbie Barbir, rapporteur du groupe de travail de l’UIT sur l’architecture et les mécanismes de gestion d’identité (Q10/17). Ce travail contribuera à résoudre les problèmes posés par les limites de sécurité des mots de passe. »
Les spécifications désormais reconnues comme recommandations de l’UIT-T sont :
• FIDO UAF 1.1 (Recommandation UIT-T X.1277) : norme mobile permettant l’authentification sans mot de passe, en utilisant la biométrie et d’autres modalités pour authentifier les utilisateurs sur leur appareil local ;
• CTAP (Recommandation UIT-T X.1278) : faisant partie des spécifications FIDO2 avec la norme d’authentification Web du W3C, CTAP inclut FIDO U2F 1.2 et permet l’utilisation d’authentificateurs externes (FIDO Security Keys, dispositifs mobiles) pour l’authentification sur les navigateurs et les systèmes d’exploitation compatibles FIDO2 via USB, NFC ou BLE pour une authentification sans mot de passe, à deux ou plusieurs facteurs.