Dépassés, les mots de passe vont disparaître

Voir aussi: WebAuthn : la biométrie bientôt dans vos navigateurs Internet

Derrière le nom WebAuthn , se cache un nouveau standard qui propose d’abandonner les mots de passe au profit de la biométrie ou de clés USB sécurisées.

Le W3C (Word Wide Web Consortium), l’organisme principal qui gère les standards du web, et l’Alliance Fido (Fast IDentity Online), une association d’entreprises qui vise à sécuriser le web, viennent d’annoncer l’adoption de la spécification Web Authentification, aussi connue sous le nom WebAuthn, qui permettra de s’affranchir des mots de passe sur les sites web.

Ces deux organismes se sont associés pour résoudre un problème de sécurité majeur : les mots de passe. Les internautes utilisent de nombreux comptes pour accéder aux différents sites web, chacun ayant son propre mot de passe. Devant la difficulté de créer autant de mots de passe différents et à les retenir, il arrive souvent qu’ils laissent ceux par défaut ou qu’ils optent pour des mots de passe faciles à retenir, comme « 1234 », ou bien encore, qu’ils utilisent le même partout. Ils sont alors vulnérables à des attaques simples, ou peuvent être récupérés en infectant l’ordinateur de la victime. Si la personne a utilisé les mêmes codes pour plusieurs comptes, ils peuvent être tous compromis.

Une adoption anticipée

Il existe quelques solutions pour renforcer la sécurité, comme les gestionnaires de mots de passe ou l’authentification multifacteurs avec, par exemple un code de confirmation par SMS, mais cela ne suffit pas à long terme. Le nouveau protocole Fido2 apporte une sécurité renforcée, tout en simplifiant l’utilisation grâce à l’élimination des mots de passe. Concrètement, il est composé de deux éléments. Tout d’abord, une authentification, grâce à un système biométrique (comme un lecteur d’empreintes ou une caméra), mais également un appareil mobile ou une clé USB de sécurité Fido. Le second élément est l’API WebAuthn qui permet, notamment, aux navigateurs et sites web d’échanger de manière sécurisée afin de s’identifier.

Les navigateurs principaux avaient déjà anticipé l’adoption du WebAuthn. Mozilla a intégré l’API dans la version 60 de son navigateur Firefox, sorti en mai 2018. Google emboîtait le pas à peine quelques jours plus tard avec la version 67 de Chrome, puis Microsoft a suivi avec son navigateur Edge, et Apple avec Safari. Ce nouveau standard est pris en charge sur Windows 10 et Android.

Un système plus pratique et une sécurité renforcée

La standardisation du WebAuthn, qui met donc le système Fido2 à disposition de tous les sites web, apporte plusieurs avantages. Les identifiants sont uniques pour chaque site web, et aucune information secrète n’est échangée. Il n’envoie ni mot de passe ni données biométriques. Il n’est, par conséquent, pas possible de les obtenir par hameçonnage, et même dans l’éventualité qu’un compte soit compromis, cela ne donnerait aucun accès aux autres comptes de la victime.

De plus, l’inscription crée un identifiant unique au site web. Cela améliore le respect de la vie privée, puisqu’il est alors impossible de suivre un utilisateur d’un site à l’autre. Enfin, le processus est très simple à mettre en œuvre et rapide à utiliser. Les sites doivent faire appel à l’API WebAuthn qui est donc standardisé. Les utilisateurs n’ont pas à saisir leur identifiant et mot de passe, il leur suffit d’activer leur système d’identification, comme poser leur doigt sur le lecteur d’empreintes.

Source: Futura Sciences


Publicités

There is one comment

Commentaires fermés