La FIDO Alliance, un consortium industriel dont le rôle est de trouver des solutions pour simplifier les systèmes d’authentification, a annoncé hier à Barcelone, qu’Android était désormais certifié FIDO2. Ce nouveau standard est disponible dès maintenant sur tous les appareils fonctionnant sur Android 7 et supérieurs ou opérationnel après une mise à jour des Services Google Play.
La fin des mots de passe complexe pour tous
A moins d’utiliser un gestionnaire de mot de passe, de choisir des mots de passe complexes, et de les modifier régulièrement, gérer efficacement ses identifiants de connexion pour s’assurer une sécurité minimale n’est pas une mince affaire.
Grâce à cette nouvelle certification, les possesseurs d’appareils Android disposant d’un capteur d’empreinte digitale pourront, dans un avenir proche, utiliser celui-ci à la place du traditionnel mot de passe, pour se connecter à leurs sites web et applications favorites. Avant cela, il faudra que tous les développeurs se remettent au travail pour adopter ce nouveau standard sur leur site ou application en exploitant l’API mise à leur disposition.
Toutefois, la fonctionnalité existe déjà sur certaines applications, notamment celles des banques, qui permettent de se connecter à ses comptes en s’authentifiant directement à l’aide du capteur d’empreintes. Dans le cas où le terminal Android ne disposerait pas d’un tel capteur, le protocole FIDO2 permettra à l’utilisateur de saisir le code PIN ou le schéma de déverrouillage de l’appareil.
Plus de sécurité et un risque de fuite de données réduit
La généralisation de l’authentification utilisant le protocole FIDO2 sur les sites web et applications devrait renforcer considérablement la sécurité. Alors que les connexions à l’aide d’un mot de passe impliquent que ce dernier soit stocké côté serveur pour autoriser l’accès à un compte, le standard FIDO2 réalise l’authentification localement.
Quand un utilisateur active l’authentification FIDO, son appareil génère une paire de clés chiffrées : une publique, enregistrée sur la plateforme en ligne, et une privée, stockée sur l’appareil. Au moment de se connecter à un site ou une application, l’appareil est interrogé pour savoir s’il confirme avoir en sa possession la clé privée formant la paire. En scannant son empreinte, l’utilisateur déverrouille l’accès à la clé privée qui renvoie alors une réponse positive et autorise la connexion.
Aucun login ni mot de passe ne transitent entre l’appareil et le serveur distant, rendant les tentatives de phishing, les attaques de type Man in the Middle, ou l’utilisation des fuites de données caduques.
Toute l’actualité du Mobile World Congress en direct de Barcelone
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.