Access Code School (ACS), École du numérique pour tous en Bourgogne Franche-Comté, Auvergne Rhône-Alpes, Centre Val de Loire et Nouvelle-Aquitaine

Blog

La fin des mots de passe se précise

Cette semaine nous avons pu lire que la version 67 de Chrome supporte désormais la Web Authentification API.

Profitons-en pour de quoi il s’agit.

La Web Authentification API ou WebAuthn pour les intimes est le fruit de la collaboration du W3C (World Wide Web Consortium) et de la FIDO Alliance (Fast Identity Online) qui s’occupent respectivement des standards du web et des protocoles de sécurité.
C’est la première fois qu’un projet reçoit le soutien de presque tous les principaux acteurs du secteur (Microsoft, Google et Mozilla)

Le projet FIDO2 entreprit depuis plusieurs années a pour but de construire les standards d’une nouvelle méthode d’authentification sur le web.
Principalement à cause des failles de sécurité liées à l’utilisation des mots de passe (phishing…), il s’agit ici de proposer un modèle plus sécurisé.

WebAuthn est «une API permettant la création et l’utilisation d’identifiants en clef publique pour les applications web».

C’est une API libre, afin que chacun soit en mesure de l’implémenter sur son site web, chose obligatoire lorsque l’on veut devenir un standard. On pourra donc laisser le navigateur gérer toute la partie authenfitication et ne plus se soucier du stockage de ces données sensibles.

Plus concrètement, cette API basée sur des facteurs d’authentification biométriques ou de possession (la reconnaissance faciale, un capteur d’empreinte ou une clé USB sécurisée…), permet d’oublier les mots de passe, et cela du moment de la création d’un compte jusqu’au login.

Le site va demander le support que l’on veut utiliser pour s’authentifier, l’utilisateur va choisir : son smartphone, sa montre connectée, sa clé USB… Ces derniers doivent être des appareils équipés des technologies nécessaires et certifiées, capable de la gestion de clés publiques / clés privées.

 

Utilisant le principe de la cryptographie asymétrique ( clé publique / clé privée ), le site reçoit la clé publique lorsque l’on entreprend une action nécessitant de s’authentifier. Le site va poser une question à usage unique (challenge) afin de s’assurer de l’identité de l’utilisateur. Le challenge est reçu (sous forme de données) puis signer à l’aide de la clé privée et renvoyé au site. La clé privée n’est jamais rendue publique et la signature se fait via des méthodes sécurisées, certifiées et hors-ligne.

Auteur : Dorothée Viard

Pour en savoir plus:

https://www.presse-citron.net/google-chrome-supporte-web-authentication-le-standard-pour-les-connexions-sans-mots-de-passe/

https://www.w3.org/2018/04/pressrelease-webauthn-fido2.html.en

https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API

https://fidoalliance.org/fido2https://www.w3.org/TR/webauthn/

 

About the Author

Ajouter un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *