Dans le contexte de sécurité actuel animé par les vols de mots de passe et fuites de données, le groupe de travail Web Authentication (WebAuthn) du W3C a publié un draft sur la spécification d’une norme d’authentification forte pour les différentes plateformes de navigateur. Pour rappel, le World Wide Web Consortium (W3C) est un organisme international de normalisation à but non lucratif, chargé de promouvoir la compatibilité des technologies du World Wide Web telles que HTML5. Ses travaux sont reconnus pour être en général adoptés par les principaux fournisseurs de navigateurs web. En ce qui concerne le groupe de travail WebAuthn, sa mission consiste à mettre en place une norme d’authentification forte pour les navigateurs. En sécurité des systèmes d'information, une authentification forte est une procédure d'identification qui requiert la concaténation d'au moins deux facteurs d'authentification.C’est de manière discrète que le WebAuthn a publié en fin mai, le premier draft d’une norme qui vise à ajouter des contrôles cryptographiques à l’authentification sur les différents navigateurs web. Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing. Ciblant en général les utilisateurs des sites bancaires ou de boutiques en ligne, les attaques de phishing consistent à mettre en place de faux sites qui ressemblent à des sites légitimes, avec pour but d’inciter les internautes à saisir leur nom d'utilisateur et leur mot de passe, ou toute autre information privée.
Comme l’explique le groupe de travail sur sa page d’accueil, il s’agit d’une « étape importante pour rendre disponible sur le web une authentification préservant la confidentialité et non exposée aux attaques de phishing, et pour réduire la dépendance vis-à-vis des mots de passe ». Cette norme viserait donc à supprimer le besoin de saisir des mots de passe. L’utilisateur se connecte en effet à ses sites ou applications web grâce à une méthode basée sur un authentificateur qui peut être un smartphone ou un jeton d’identification (clé USB de sécurité, carte à puce, etc.).
L’utilisateur va enregistrer des identifiants cryptographiques uniques pour chacun des sites et applications web auxquels il a l'habitude de se connecter. Ces identifiants sont enregistrés sur l’identificateur dont l’utilisateur va ensuite se servir pour autoriser les opérations telles que la connexion. « Les authentificateurs sont responsables de veiller à ce qu’aucune opération ne soit effectuée sans le consentement de l'utilisateur », est-il précisé dans le draft. La confidentialité est également assurée dans la mesure où l'utilisateur est en contrôle de ses informations d'identification et clés cryptographiques. Un agent utilisateur gère l'accès aux informations d'identification afin de préserver la confidentialité des utilisateurs.
À travers ce premier draft, le W3C envoie un signal aux développeurs pour examiner la spécification d’authentification web. Ces derniers sont surtout invités à faire des recommandations sur l’implémentation et l’utilisation de cette nouvelle norme.
Sources : Groupe de travail Web Authentication, Premier draft de la norme d’authentification
Et vous ?
Que pensez-vous de cette norme d’authentification pour les navigateurs web ?Voir aussi :
Le W3C a commencé à travailler sur la spécification de HTML 5.1, et donne la possibilité aux parties tierces de faire des suggestions sur GitHub 
