W3C et l’Alliance FIDO finalisent le standard Web pour des connexions sécurisées et sans mot de passe
mars 2019 par Marc Jacob
Le World Wide Web Consortium (W3C) et l’Alliance FIDO annoncent que la spécification Web Authentication (WebAuthn) est désormais un standard Web officiel. Cette avancée est une étape majeure pour rendre Internet plus sûr et plus fonctionnel pour les utilisateurs du monde entier.
La Recommandation WebAuthn du W3C, composant essentiel de la suite de spécifications FIDO2 (1) de l’Alliance FIDO, est un standard pour navigateurs et plateformes permettant une authentification plus simple et plus robuste. Ce standard, déjà pris en charge dans Windows 10 et Android, ainsi que les navigateurs Chrome, Firefox, Edge et Safari, permet aux utilisateurs de se connecter à leurs comptes Internet à l’aide de l’appareil de leur choix. Les services et applications Web peuvent activer cette fonctionnalité pour donner à leurs utilisateurs la possibilité de se connecter plus facilement via la biométrie, les appareils mobiles et/ou les clés de sécurité FIDO, avec une sécurité bien supérieure à celle des seuls mots de passe.
Une solution ergonomique contre le vol de mots de passe, le phishing, et les attaques par « rejeu » (replay attacks)
Il est établi que les mots de passe ont perdu leur efficacité. Les mots de passe par défaut, faibles ou ayant été volés sont non seulement à l’origine de 81 % des violations de données, mais ils créent en outre une perte considérable de temps et de moyens. Ainsi, selon une étude récente de Yubico, les utilisateurs consacrent 10,9 heures par an à la saisie et/ou à la réinitialisation de leurs mots de passe, entraînant un coût moyen de 5,2 millions de dollars par an aux entreprises. Les solutions traditionnelles d’authentification multi-facteurs (MFA), tels que les mots de passe à usage unique (One-time Passwords ou OTP) reçus par SMS, ajoutent une couche de sécurité supplémentaire, mais restent néanmoins vulnérables aux attaques par phishing, ne sont pas simples d’utilisation, et souffrent d’un faible taux d’adoption.
Avec FIDO2 et WebAuthn, la communauté technologique mondiale s’est réunie pour élaborer une solution commune à la problématique mondiale des mots de passe. FIDO2 résout tous les problèmes associés à l’authentification traditionnelle :
• Sécurité : les identifiants de connexion cryptographiques FIDO2 sont uniques sur chaque sites Internet, et aucune information biométrique ou autres informations confidentielles tels que les mots de passe ne quittent le terminal de l’utilisateur ou ne sont stockés sur un serveur. Ce modèle de sécurité élimine tout risque de phishing, toutes formes de vol de mots de passe, et les attaques par « rejeu ».
• Commodité : les utilisateurs se connectent avec des méthodes pratiques telles que les lecteurs d’empreintes digitales, les appareils photo, les clés de sécurité FIDO ou leur appareil mobile.
• Confidentialité : les clés FIDO étant uniques pour chaque site Internet, elles ne peuvent pas être utilisées pour traquer les utilisateurs à travers les sites qu’ils consultent.
• Évolutivité : les sites Internet peuvent activer FIDO2 par simple appel API sur tous navigateurs et toutes plateformes équipées, au moyen de milliards d’appareils utilisés quotidiennement par les consommateurs.