Le World Wide Web Consortium (W3C) et l’Alliance FIDO annoncent que la spécification Web Authentication (WebAuthn) est désormais un standard Web officiel. Cette avancée est une étape majeure pour rendre Internet plus sûr et plus fonctionnel pour les utilisateurs du monde entier.
La Recommandation WebAuthn du W3C, composant essentiel de la suite de spécifications FIDO2 de l’Alliance FIDO, se présente comme un standard pour navigateurs et plateformes permettant une authentification plus simple et plus robuste. FIDO2 rassemble la spécification Web Authentication (WebAuthn) du W3C ainsi que le protocole CTAP (Client-to-Authenticator Protocol) de l’Alliance FIDO.
Ce standard, déjà pris en charge dans Windows 10 et Android, ainsi que les navigateurs Chrome, Firefox, Edge et Safari, permet aux utilisateurs de se connecter à leurs comptes Internet à l’aide de l’appareil de leur choix. Les services et applications Web peuvent activer cette fonctionnalité pour donner à leurs utilisateurs la possibilité de se connecter plus facilement via la biométrie, les appareils mobiles et/ou les clés de sécurité FIDO, avec une sécurité bien supérieure à celle des seuls mots de passe.
Pour les défenseurs de ce projet, il est établi que les mots de passe ont perdu leur efficacité. Les mots de passe par défaut, faibles ou ayant été volés sont non seulement à l’origine de 81 % des violations de données, mais ils créent en outre une perte considérable de temps et de moyens. Ainsi, selon une étude récente de Yubico, les utilisateurs consacrent 10,9 heures par an à la saisie et/ou à la réinitialisation de leurs mots de passe, entraînant un coût moyen de 5,2 millions de dollars par an aux entreprises. Les solutions traditionnelles d’authentification multi-facteurs (MFA), tels que les mots de passe à usage unique (One-time Passwords ou OTP) reçus par SMS, ajoutent une couche de sécurité supplémentaire, mais restent néanmoins vulnérables aux attaques par phishing, ne sont pas simples d’utilisation, et souffrent d’un faible taux d’adoption.
Avec FIDO2 et WebAuthn, la communauté technologique mondiale s’est réunie pour élaborer une solution commune à la problématique mondiale des mots de passe. FIDO2 résout tous les problèmes associés à l’authentification traditionnelle :
– Sécurité : les identifiants de connexion cryptographiques FIDO2 sont uniques sur chaque sites Internet, et aucune information biométrique ou autres informations confidentielles tels que les mots de passe ne quittent le terminal de l’utilisateur ou ne sont stockés sur un serveur. Ce modèle de sécurité élimine tout risque de phishing, toutes formes de vol de mots de passe, et les attaques par « rejeu ».
– Commodité : les utilisateurs se connectent avec des méthodes pratiques telles que les lecteurs d’empreintes digitales, les appareils photo, les clés de sécurité FIDO ou leur appareil mobile.
– Confidentialité : les clés FIDO étant uniques pour chaque site Internet, elles ne peuvent pas être utilisées pour traquer les utilisateurs à travers les sites qu’ils consultent.
– Évolutivité : les sites Internet peuvent activer FIDO2 par simple appel API sur tous navigateurs et toutes plateformes équipées, au moyen de milliards d’appareils utilisés quotidiennement par les consommateurs.
Mise en œuvre
Pour les fournisseurs et fournisseurs de services prêts à se familiariser avec les spécifications FIDO2 et le déploiement sur navigateurs et plateformes, l’Alliance FIDO fournit des outils de test et a lancé un programme de certification. À l’heure actuelle, il existe de nombreuses solutions FIDO2 certifiées prenant en charge de nombreux cas, notamment des serveurs universels certifiés FIDO prenant en charge FIDO2 et tous les appareils UAF et U2F antérieurs pour une compatibilité totale avec la gamme complète d’authentificateurs FIDO certifiés.
puis