L'ère du mot de passe révolue pour l'alliance FIDO
Qui propose un nouveau standard pour faciliter et normaliser les systèmes d'authentification

Le , par Amine Horseman, Expert éminent sénior
En juillet 2012, plusieurs grandes entreprises avaient formé ce que l’on appelle la FIDO Alliance (Fast IDentity Online), dans un effort de créer un moyen à la fois sécurisé et facile à utiliser, qui permettrait de ne plus avoir à retenir de mots de passe. Les membres de cette alliance sont tous de grandes multinationales dans le domaine de l’IT mais aussi dans la finance, dont Google, Microsoft, Lenovo, Samsung Electronics, BlackBerry, ARM Holdings, Bank of America Corporation, PayPal, RSA, Visa, Synaptics, ainsi que d’autres.

Après plus de deux ans d’efforts, la FIDO Alliance a enfin publié les spécifications finales des deux systèmes d’authentification proposés. Le premier est décrit comme « un protocole sans mot de passe » et porte le nom de « Universal Authentication Framework (UAF) ». Ce protocole se base sur l’utilisation de l’authentification biométrique comme les empreintes digitales, la reconnaissance des visages ou encore la reconnaissance de la voix à travers une expérience utilisateur simplifiée et intuitive.

Le deuxième protocole, dénommé « Universal Second Factor (U2F) », est destiné aux infrastructures existantes à base de mot de passe, renforcées par l’introduction d’un second facteur d’authentification, qui prend ici la forme d’un périphérique externe (ex : clé USB, Bluetooth, NFC…). Ceci permettrait de diminuer la longueur des mots de passe à quatre chiffres seulement, rendant leur mémorisation plus facile pour les utilisateurs, comme c’est le cas pour les actuelles cartes de crédit.


Schéma récapitulatif de l'authentification selon les spécifications de FIDO Alliance

Ces deux techniques ne semblent rien apporter de nouveau, puisqu’elles sont déjà utilisées depuis plusieurs années. Toutefois, la particularité des protocoles FIDO, est que selon les spécifications publiées, « l’authentification se passe en local et non dans le serveur distant ». En d’autres termes, une fois que le client introduit son périphérique d’authentification ou son empreinte digitale, par exemple, c’est la machine de l’utilisateur qui détermine son identité puis envoie une clé chiffrée au serveur pour la comparer avec les autres clés. De ce fait, les informations privées de l’utilisateur ne sont pas stockées chez le fournisseur de service. De plus cela permettrait d’éviter toute forme de tracking de l’utilisateur à travers différents sites web.

Une autre particularité des spécifications proposées par FIDO Alliance, est qu’elles visent à normaliser l’expérience utilisateur ainsi que les différentes couches des protocoles d’authentification, de sorte à créer un standard unifié. Le client pourrait même être « préinstallé dans le système d’exploitation ou dans le navigateur », peut-on lire sur le site de l’alliance. Selon elle, les protocoles U2F et UAF pourraient être la solution aux problèmes actuels des infractions causées par le vol d’identifiants et de mots de passe, représentant 76 % des infractions, selon le rapport d’enquête de Verizon.

Source : FIDO Alliance

Et vous ?

Qu’en pensez-vous ? Vers la fin du mot de passe ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de kolodz kolodz - Modérateur http://www.developpez.com
le 11/12/2014 à 11:57
L'authentification a toujours eu 3 critères différents :
  • Ce que tu as.
  • Ce que tu es.
  • Ce que tu sais.

Une authentification un minimum valable se base sur 2 de ces trois critères. Le système présenté réduit tout à un seul facteur, ce que tu es.

Or il a été prouvé à de nombreuse reprise que les systèmes d'authentification biométrique sont facilement trompé...

D'autant plus qu'il est plus facile d'obtenir l'emprunte d'une personne ou son téléphone que son mot de passe.

Cordialement,
Patrick Kolodziejczyk.
Avatar de vanskjære vanskjære - Membre habitué http://www.developpez.com
le 11/12/2014 à 12:02
Il n'y a que moi qui vois un lien fort entre FIDO et UAF-UAF?

Sinon rien de révolutionnaire comme préciser dans le communiquer.
Tout comme un iphone 5s ou 6 la reconnaissance c'est bien si l'empreinte n'a pas été altéré (blessure, bain chaud trop long etc...) et le mot de passe devient alors de nouveau indispensable.

Pour la solution du second factor c'est bien beau quand on a plus de batterie sur son téléphone (voir pa son téléphone tout court).

Citation Envoyé par kolodz  Voir le message
Or il a été prouvé à de nombreuse reprise que les systèmes d'authentification biométrique sont facilement trompé...

D'autant plus qu'il est plus facile d'obtenir l'emprunte d'une personne ou son téléphone que son mot de passe.

Patrick Kolodziejczyk.

En mode film d'espionnage avec un pauvre gars (mort ou vif) qui se fait couper le doigt pour passer une porte sécurisé par reconnaissance d'empreinte. (Quand c'est pas l'oeil qui lui a été pris)
Avatar de insomniak insomniak - Membre du Club http://www.developpez.com
le 11/12/2014 à 12:22
Pour la solution du second factor c'est bien beau quand on a plus de batterie sur son téléphone (voir pa son téléphone tout court).

Ca ne serait pas possible du second factor avec une puce RFID, qui n'aurait donc pas besoin d'énergie ?

Juste besoin d'avoir la puce sur une carte dans son portefeuille et op.

Après les mots de passes ça marche très bien pour peux qu'on utilise un logiciel de portefeuille de mot de passe...
Avatar de squizer squizer - Membre habitué http://www.developpez.com
le 11/12/2014 à 13:42
c’est la machine de l’utilisateur qui détermine son identité puis envoie une clé chiffrée au serveur pour la comparer avec les autres clés.

Donc suffit d'intercepter cette clé une fois pour se reloguer à la place de l'utilisateur en bypassant complètement le protocole "client" d'authentification.
Sans moi...
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré http://www.developpez.com
le 11/12/2014 à 14:04
Pratique dans le cas de possession d'un outil qui n'est pas utilisé depuis longtemps et d'on le mot de passe a sûrement été oublié. La plupart du temps l'importance sentimentale ou le prix de ses outils influx sur le facteur qualité et antivol. Pour peu que le nombres d'utilisateurs et leurs grades soient connus.

La suppression systématique de celui-ci ?
Je présume que bientôt ils voudront que les mots de passes fort soit créer par les systèmes et sauvegardés en pouvant identifier de façon unique le titulaire du compte ou appareil en réseau ou pas. Je crains que sa tourne mal au final.
Avatar de youtpout978 youtpout978 - Membre expert http://www.developpez.com
le 11/12/2014 à 14:57
Citation Envoyé par squizer  Voir le message
Donc suffit d'intercepter cette clé une fois pour se reloguer à la place de l'utilisateur en bypassant complètement le protocole "client" d'authentification.
Sans moi...

Ils ont surement déjà pensé à ce cas.
Avatar de Aiekick Aiekick - Membre éprouvé http://www.developpez.com
le 11/12/2014 à 15:25
oui c'est ce qu'on s'est dit de ceux qui ont fait la visa sans contact. et en fait.....
Avatar de Angelsafrania Angelsafrania - Membre averti http://www.developpez.com
le 11/12/2014 à 15:33
Citation Envoyé par youtpout978  Voir le message
Ils ont surement déjà pensé à ce cas.

On dirait vu qu'il y a une liste de clef dans le visuel.
Mais bon une signature généré automatiquement pour chaque requête avec la date (pour pas pouvoir rejouer les requête passées).
Plus un système de chiffrement symétrique avec un échange de clefs Diffie-Hellman et le mec au milieu il aura du mal à faire quelque chose (enfin sauf s'il intercepte les échanges de clefs et puis après déchiffre et re-chiffre tous les messages, donc un petit coup de clef public-privé avec certificat pour l'échange des clefs).
Avatar de kolodz kolodz - Modérateur http://www.developpez.com
le 11/12/2014 à 15:35
Citation Envoyé par cuicui78  Voir le message
oui c'est ce qu'on s'est dit de ceux qui ont fait la visa sans contact. et en fait.....

Il ne demande pas de validation à l'utilisateur. Et c'est bien plus problématique...
Avatar de Etanne Etanne - Membre éclairé http://www.developpez.com
le 11/12/2014 à 15:57
Citation Envoyé par squizer  Voir le message
Donc suffit d'intercepter cette clé une fois pour se reloguer à la place de l'utilisateur en bypassant complètement le protocole "client" d'authentification.
Sans moi...

Impossible car la clé renvoyée au serveur dépend de la clé qui t'a été envoyé pour l'authentification (voir le site).
Offres d'emploi IT
Data scientist H/F
Safran - Ile de France - Magny-les-Hameaux (78114)
Ingénieur sénior en développement mobile / projet innovation H/F
Safran - Ile de France - Hauts de Seine
Développeur - software craftsman (H/F)
Société Générale - Ile de France - Hauts-de-Seine

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil