WebAuthn : le futur du web sans mot de passe se rapproche

Sécurité

Par Gaël Weiss le

Le W3C et la FIDO Alliance, qui s’occupent respectivement des standards du web et des protocoles de sécurité, viennent de se mettre d’accord sur les caractéristiques techniques d’une API libre, WebAuthn. Pour l’instant à l’état de simple ligne de code, elle devrait avoir un impact important sur les utilisateurs d’Internet puisqu’elle promet de pouvoir remplacer les bons vieux mots de passe textuels à entrer au clavier par des intermédiaires biométriques (capteur d’empreinte, reconnaissance faciale) ou n’importe quel « système authentificateur » (clé ou dongle USB).

Un mot de passe Root. Crédit image : Scott Schiller via Flickr.

Alors que les smartphones disposant d’un capteur d’empreinte digitale se généralisent, pourquoi sommes-nous encore obligés de rentrer des mots de passe pour nous identifier sur des sites web ou des services en ligne ? Pourquoi n’existe-t-il pas encore de solutions plus sécurisées et plus difficiles à voler de la part de pirates ? C’est sur ces questions que planche depuis de nombreux mois, voire années, la FIDO Alliance. Depuis 2015, cette alliance, qui regroupe les principaux mastodontes de l’informatique (Google, Microsoft ou Mozilla en tête) a pour but de mettre en place une nouvelle manière de s’identifier en ligne.

Déjà disponible sur Firefox et bientôt dans Chrome

Elle a donc développé une API nommée WebAuthn dont le but est de trouver une alternative plus sûre aux traditionnels mots de passe. Une API qui serait à la fois plus sécurisée, mais aussi libre, de façon à ce que n’importe quelle société, mais aussi développeur, puisse l’utiliser pour son site web ou ses services en ligne. Elle a été soumise au W3C et depuis quelques jours, elle est désormais disponible sur la version Nightly de Firefox 60. Mieux, elle devrait arriver d’ici quelques mois sur Chrome et Edge. Apple, de son côté, n’a donné aucune indication sur sa possible intégration à Safari.

Remplacer son mot de passe par le capteur d’empreinte de son smartphone

Comme l’explique avec force détails 01.net, le principe de ce nouveau protocole de sécurité repose sur un « système authentificateur » physique. Il peut s’agir aussi bien d’un dongle USB (comme Yubikey), que le capteur d’empreinte digitale d’un smartphone ou encore un système de reconnaissance faciale d’une caméra. Pour se connecter à un site web qui supportera WebAuthn, il suffira alors simplement de mettre son doigt sur le lecteur d’empreinte de son smartphone pour s’identifier.

Outre l’absence de mot de passe textuel, WebAuthn possède de nombreux avantages au niveau de la sécurité. Le site web ou service ne stockera ainsi aucun mot de passe. Il se contentera simplement de stocker une clé de sécurité publique envoyée par l’utilisateur et au moment de se connecter, son smartphone enverra au site un message d’authentification signé avec une clé privée, stockée uniquement sur son téléphone. Pirater le compte d’un utilisateur devrait donc s’avérer bien plus compliqué que de lui soutirer son mot de passe via un système de phising. Il faudra pour cela accéder à l’appareil authentificateur, puis trouver sa clé de sécurité privée.

Nouvelle solution, mais nouvelles contraintes

Un protocole de sécurité plus facile à utiliser et plus sécurisé côté utilisateur, certes, mais qui nécessite qu’il soit systématiquement équipé d’un appareil physique pour s’identifier. Avec ce problème : que faire quand on s’est fait voler cet appareil ? Question subsidiaire : finalement, est-il plus facile de se faire voler son mot de passe ou de se faire voler son téléphone ? Une nouvelle solution, certes, mais de nouvelles contraintes à la clé.

Source: 01.net

9 réponses à “WebAuthn : le futur du web sans mot de passe se rapproche”

  1. pour la reconnaissance faciale je me pose une question. Est-ce que l’ADN sera stocké et où ? revendu?…
    oups, ah oui, reconnaissance des visages.
    Autant pour moi

  2. J’imagine qu’arrivera un jour où les PCs seront, au même titre que les smarphones, munis d’un lecteur d’empreintes. Dès lors la question de perdre ce qui te permet l’authentification n’aura plus lieu d’être.

  3. Ce qui m’embête dans l’authentification biométrique, la révocation est définitive pour l’utilisateur.

  4. Haha je savais même pas! T’as des exemples en tête. En tout cas on est bien d’accord que cest pas démocratisé (ou alors j’ai loupé un gros épisode de ma vie).
     toujours est-il que je ne comprends pas vraiment la nécessité d’utiliser un portable pour s’authentifier s’il suffit de développer le principe de lecteur d’empreintes sur tous les PC.

  5. Haha je savais même pas! T’as des exemples en tête. En tout cas on est bien d’accord que cest pas démocratisé (ou alors j’ai loupé un gros épisode de ma vie).
     toujours est-il que je ne comprends pas vraiment la nécessité d’utiliser un portable pour s’authentifier s’il suffit de développer le principe de lecteur d’empreintes sur tous les PC.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *