C’est peut-être un pas de plus vers un monde sans mots de passe, du moins sur le Web. Le consortium W3C vient d’annoncer que la spécification Web Authentication (WebAuthn) est désormais un standard officiel du Web. Cette annonce n’est pas vraiment une surprise. En avril 2018, WebAuthn avait déjà été promue « Candidate Recommendation », une étape préliminaire pour devenir un standard officiel dans le cadre du W3C.
WebAuthn est une API qui permet d’implémenter la couche Web d’une technologie d’authentification baptisée FIDO2. Son but est de simplifier les connexions sécurisées aux sites et aux applications, notamment en éliminant les mots de passe que nous détestons tous. Comment ? Par un jeu de protocoles cryptographiques. L’internaute choisit d’abord un « système authentificateur ». Cela peut être le lecteur d’empreinte d’un smartphone, le système de reconnaissance faciale d’un PC portable, un dongle USB, etc. Cet authentificateur va générer une clé publique et une clé privée. La première sera envoyée au service Web qui la stockera dans une base de données. La seconde restera, évidemment, stockée en local.
Un système avec beaucoup d’avantages
Par la suite, l’internaute pourra utiliser son système authentificateur pour se connecter directement, sans avoir à rentrer de mot de passe. Il suffira de poser son doigt sur le lecteur d’empreinte ou de regarder le capteur de reconnaissance faciale, et sésame s’ouvrira. En coulisses, cette magie s’appuie sur un échange de requêtes Web. L’authentificateur envoie au service Web un message qui sera signé avec la clé privée et qui pourra être vérifié grâce à la clé publique. En retour, il recevra le droit d’accès du service Web.
Les avantages d’un tel système sont multiples. Le site n’a pas besoin de stocker les mots de passe de ses utilisateurs, mais seulement leurs clés publiques. Il n’y a donc plus de risque de fuite d’identifiants.
La technologie est également très résistante face aux attaques d’interception de type Man-in-the-Middle. Pour usurper l’identité d’un utilisateur, un attaquant doit disposer de la clé privée et du système authentificateur, sans quoi il ne pourra pas envoyer une signature valide auprès du service Web.
Les attaques de phishing sont également très difficiles à mettre en œuvre car le nom de domaine du site est lié de manière cryptographique avec les clés générées par FIDO2. Confronté à une faux site, le système authentificateur n’enverra pas de signature.
FIDO2 et WebAuthn suscitent beaucoup d’espoirs. Ces technologies sont soutenues par tous les acteurs de l’industrie informatique. Les systèmes Windows 10 et Android intègrent d’ores et déjà cette technologie, ainsi que tous les navigateurs Web : Chrome, Firefox, Edge et même Safari.
Par ailleurs, le nombre de dispositifs certifiés FIDO2 ne cesse de croître. Le site Web du consortium Fido Alliance compte déjà plus d’une quarantaine de logiciels et matériels, dont les clés de sécurité Yubikey 5 de Yubico. Tout est donc en place pour que les internautes puissent enfin bénéficier d’un monde sans mots de passe. La balle est maintenant dans le camp des développeurs de services Web.
Pour l’instant, il n’y a que peu de sites et d’applications qui supportent l’authentification par FIDO2/WebAuthn. Il est vrai que c’est plus compliqué à mettre en place qu’un simple mot de passe. Mais le jeu, clairement, en vaut la chandelle.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.