Le composant de spécification WebAuthn des normes proposées par FIDO Alliance FIDO2 devrait maintenant devenir beaucoup plus courant en ligne à la suite d’une annonce du World Wide Web Consortium (W3C) et de FIDO Alliance révélant que la spécification est une norme Web officielle. En résumé, cela signifie qu’une prise en charge plus large du service Web et de la connexion à l’application via la biométrie, l’appareil mobile ou les clés de sécurité FIDO devrait être imminente, par opposition à la simple connexion par mot de passe.

Entre FIDO2 et WebAuthn, la nouvelle norme apporte une multitude d’améliorations par rapport aux anciennes méthodes de connexion allant de la sécurité à la commodité avec un fort accent sur la protection des informations d’identification des utilisateurs par rapport aux mots de passe.

Citant une étude menée par Verizon Enterprise Solutions en 2017, le W3C et l’alliance FIDO notent que les mots de passe faibles – qu’ils soient créés par défaut ou créés par l’utilisateur – sont responsables de jusqu’à 81% des violations de données. Une autre étude de Yubico estime que 5,2 millions de dollars sont gaspillés en réinitialisation de mot de passe par an et que les utilisateurs passent environ 10,9 heures par an à passer par ce processus.

Les nouvelles normes traitent de cette fuite des ressources. Pour commencer, FIDO2 permet des identifiants de connexion cryptographiques uniques sur chaque site, tandis que la biométrie et les mots de passe ne laissent pas l’appareil des utilisateurs finaux, éliminant ainsi la nécessité de les stocker sur un serveur pour que les mauvais acteurs puissent les voler. La nature unique des clés FIDO signifie également qu’elles ne peuvent pas être utilisées pour suivre un utilisateur sur différents sites.

Un appel API est tout ce qui est nécessaire pour mettre en œuvre les nouvelles normes sur un site, permettant aux utilisateurs de se connecter via les normes à l’aide de la biométrie, y compris la biométrie basée sur une caméra, les clés de sécurité FIDO ou leur appareil mobile personnel. Dans le même esprit, un nouveau programme de certification FIDO a été lancé pour rendre le processus encore plus facile pour les développeurs et les fournisseurs.

Chrome et Android prennent déjà en charge les normes

Traditionnellement, la connexion sécurisée à un site Web ou à un service à l’aide d’Android ou de Chrome OS nécessite un mot de passe traditionnel ou une authentification à deux facteurs. Le premier de ceux-ci est devenu de plus en plus précaire comme souligné ci-dessus et le second n’est pas nécessairement infaillible non plus. L’authentification basée sur SMS, en particulier, s’est révélée vulnérable aux attaques d’usurpation d’identité et autres cyberattaques.

Désormais, certains aspects de FIDO2 et WebAuthn sont déjà en place dans Chrome depuis la version 70. Les appareils Android fonctionnant sur la version Android 7.0 Nougat ou plus récente sont certifiés FIDO2 depuis la fin du mois dernier, en attendant une mise à jour des services Google Play pour les anciens combinés. .

Alors, que fait vraiment cette normalisation?

Les implémentations Android et Chrome étaient, à leur niveau le plus basique, des correctifs au niveau logiciel. En fait, ils ne représentaient pas grand-chose par eux-mêmes, sauf là où l’utilisation des spécifications était en place. Cela est d’autant plus vrai que l’utilisation des spécifications n’allait pas nécessairement être généralisée, avec un support limité par la plate-forme.

C’est là que la standardisation des normes de l’Alliance FIDO passe à l’action, car sa standardisation, complétée par un programme d’API et de certification dédié, signifie que davantage de développeurs et de fournisseurs Web devraient commencer à utiliser les méthodes d’authentification.

Une fois mis en œuvre, les utilisateurs d’Android dotés d’un lecteur d’empreintes digitales ou de fonctionnalités de reconnaissance faciale de haute précision devraient pouvoir l’utiliser pour se connecter à un site Web ou à un service au lieu d’un mot de passe, ce qui rend les choses plus pratiques et plus sécurisées.

Les appareils Chrome OS peuvent éventuellement commencer à recevoir ces types de fonctionnalités matérielles en dehors de quelques appareils anormaux tels que Pixel Slate de Google et son scanner d’empreintes digitales. Les utilisateurs peuvent déjà utiliser les fonctionnalités Better Together de Chrome pour garder un appareil déverrouillé avec un appareil mobile sans lecteur d’empreintes digitales, mais cela nécessite toujours une connexion initiale avec un mot de passe.

Avec la nouvelle normalisation, une connexion plus robuste pourrait être plus faisable. L’authentification basée sur le matériel à l’aide de clés FIDO ou de numérisation faciale serait également prise en charge, le cas échéant, élargissant la portée de la façon exacte dont les utilisateurs peuvent se connecter de manière générale sans recourir à des mots de passe.

Laisser un commentaire