Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le W3C travaille sur une norme d'authentification forte pour les navigateurs
Pour sécuriser l'accès aux applications web et empêcher le phishing

Le , par Michael Guilloux

40PARTAGES

8  0 
Dans le contexte de sécurité actuel animé par les vols de mots de passe et fuites de données, le groupe de travail Web Authentication (WebAuthn) du W3C a publié un draft sur la spécification d’une norme d’authentification forte pour les différentes plateformes de navigateur. Pour rappel, le World Wide Web Consortium (W3C) est un organisme international de normalisation à but non lucratif, chargé de promouvoir la compatibilité des technologies du World Wide Web telles que HTML5. Ses travaux sont reconnus pour être en général adoptés par les principaux fournisseurs de navigateurs web. En ce qui concerne le groupe de travail WebAuthn, sa mission consiste à mettre en place une norme d’authentification forte pour les navigateurs. En sécurité des systèmes d'information, une authentification forte est une procédure d'identification qui requiert la concaténation d'au moins deux facteurs d'authentification.

C’est de manière discrète que le WebAuthn a publié en fin mai, le premier draft d’une norme qui vise à ajouter des contrôles cryptographiques à l’authentification sur les différents navigateurs web. Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing. Ciblant en général les utilisateurs des sites bancaires ou de boutiques en ligne, les attaques de phishing consistent à mettre en place de faux sites qui ressemblent à des sites légitimes, avec pour but d’inciter les internautes à saisir leur nom d'utilisateur et leur mot de passe, ou toute autre information privée.

Comme l’explique le groupe de travail sur sa page d’accueil, il s’agit d’une « étape importante pour rendre disponible sur le web une authentification préservant la confidentialité et non exposée aux attaques de phishing, et pour réduire la dépendance vis-à-vis des mots de passe ». Cette norme viserait donc à supprimer le besoin de saisir des mots de passe. L’utilisateur se connecte en effet à ses sites ou applications web grâce à une méthode basée sur un authentificateur qui peut être un smartphone ou un jeton d’identification (clé USB de sécurité, carte à puce, etc.).

L’utilisateur va enregistrer des identifiants cryptographiques uniques pour chacun des sites et applications web auxquels il a l'habitude de se connecter. Ces identifiants sont enregistrés sur l’identificateur dont l’utilisateur va ensuite se servir pour autoriser les opérations telles que la connexion. « Les authentificateurs sont responsables de veiller à ce qu’aucune opération ne soit effectuée sans le consentement de l'utilisateur », est-il précisé dans le draft. La confidentialité est également assurée dans la mesure où l'utilisateur est en contrôle de ses informations d'identification et clés cryptographiques. Un agent utilisateur gère l'accès aux informations d'identification afin de préserver la confidentialité des utilisateurs.

À travers ce premier draft, le W3C envoie un signal aux développeurs pour examiner la spécification d’authentification web. Ces derniers sont surtout invités à faire des recommandations sur l’implémentation et l’utilisation de cette nouvelle norme.

Sources : Groupe de travail Web Authentication, Premier draft de la norme d’authentification

Et vous ?

Que pensez-vous de cette norme d’authentification pour les navigateurs web ?

Voir aussi :

Le W3C a commencé à travailler sur la spécification de HTML 5.1, et donne la possibilité aux parties tierces de faire des suggestions sur GitHub

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de rambc
Membre expérimenté https://www.developpez.com
Le 12/04/2018 à 23:52
Que faire si ma "donnée" biométrique est piratée ? Un code est facile à changer, une "donnée" biométrique beaucoup moins...
2  0 
Avatar de Bardotj
Membre régulier https://www.developpez.com
Le 05/03/2019 à 13:48
Donc si je résume :

Pour information, c'est un contexte de sécurité animé par les vols de mots de passe et fuites de données qu'en mai 2016 => incompétence ou erreur humaine, rien a voir avec les mots de passes

pour donner à leurs utilisateurs la possibilité de se connecter plus facilement via la biométrie, les appareils mobiles ou les clés de sécurité FIDO, avec une sécurité bien supérieure à celle des seuls mots de passe => on pourrait avoir des métriques pertinentes ?
Là pour moi les deux sont deux choses différentes avec des implications différentes.

Faisant aussi référence à une récente étude du fournisseur de clés de sécurité Yubico, ils affirment encore que les utilisateurs consacrent 10,9 heures par an à la saisie ou à la réinitialisation de mots de passe, ce qui coûte en moyenne 5,2 millions de dollars par an aux entreprises. => en général un vendeur de solution est tout sauf impartial.

sécurité : les identifiants de connexion cryptographiques FIDO2 sont uniques sur chaque site Web et aucune information biométrique ou autre secret tel que les mots de passe ne quittent le terminal de l'utilisateur ou ne sont stockés sur un serveur. Ce modèle de sécurité élimine tout risque de hameçonnage, toutes formes de vol de mots de passe, et les attaques par « rejeu » ; => cela n’empéche pas les attaques par qui bypass le rejeu

commodité : les utilisateurs se connectent avec des méthodes pratiques telles que les lecteurs d'empreintes digitales, les appareils photo, les clés de sécurité FIDO ou leur appareil mobile ;
confidentialité : les clés FIDO étant uniques pour chaque site Internet, elles ne peuvent pas être utilisées pour vous suivre à travers les sites ; => quid du tracking a travers les devices ? Quid des gens qui ne peuvent, non pas acces a ce type de device ?

Mon avis est que c’est une mauvaise réponse a un vrai probléme, plus d’éducation et de sensibilisation.
1  0 
Avatar de bsadacheng
Nouveau membre du Club https://www.developpez.com
Le 07/03/2019 à 15:08
cette folie vise seulement à collecter toutes les données biométriques possibles
pour la sois disant sécurité en fait la surveillance des populations
1  0 
Avatar de Cxx-waves
Nouveau membre du Club https://www.developpez.com
Le 20/06/2016 à 16:16
Le protocole TLS n'est-il pas fait pour ça ? Il permet d'authentifier les utilisateurs, non pas sur la base d'un couple utilisateur/mdp mais sur la génération d'un certificat, validé côté serveur.

Après, pour réellement avoir de la sécurité il faudrait commencer par avoir des listes de certificats autorisés, plutôt que des arborescences de CAs opaques et qui peuvent signer tout et n'importe quoi.
1  1 
Avatar de marsupial
Membre expert https://www.developpez.com
Le 01/11/2016 à 23:36
Excusez si je me marre

Mauvais copieur Microsoft et pas sur car la NSA met des backdoors dans vos algorithmes.
0  0 
Avatar de
https://www.developpez.com
Le 11/04/2018 à 18:24
Registration and Authentication : C'est une alternative méthodique à celle de certaines applications de " messagerie instantanée "...
0  0 
Avatar de byrautor
Membre averti https://www.developpez.com
Le 20/04/2018 à 17:57
Quelle pagaille !
0  0 
Avatar de Cyrilh7
Membre régulier https://www.developpez.com
Le 20/04/2018 à 20:26
Le protocole TLS n'est-il pas fait pour ça ? Il permet d'authentifier les utilisateurs, non pas sur la base d'un couple utilisateur/mdp mais sur la génération d'un certificat, validé côté serveur.
Je pense que tu veux parler d'authentification mutuelle (avec certificat client). Attention, TLS n'est pas souvent utiliser comme cela, car cela impose au client d'avoir obtenu au préalable un certificat, de gèrer le renouvellement de celui-ci, et si le client utilise plusieurs machines, ça devient un calvaire...

Après, pour réellement avoir de la sécurité il faudrait commencer par avoir des listes de certificats autorisés, plutôt que des arborescences de CAs opaques et qui peuvent signer tout et n'importe quoi.
Libres à toi de supprimer les CA auxquels tu ne fait pas confiance de ton magasin de certificat.... De même tu peux génèrer ta propre CA (même si dans ce cas, ça complique un peu plus la chose...)
0  0 
Avatar de dasdeb
Membre habitué https://www.developpez.com
Le 21/04/2018 à 19:27
Cyrilh7, c'est ce que j'utilise pour faire de mon serveur mail un relais privé.
J'ai créé un certificat que Postfix utilise pour me reconnaître et que j'ai dans thunderbird.

Pour s'identifier avec un site, c'est plus dangereux par contre.
Un membre s'enregistre (couple identifiant/mot de passe) et reçoit un certificat.
S'il va sur un autre ordi, il doit utiliser le couple identifiant/mot de passe et reçoit le même certificat.
Le problème est s'il utilise l'ordi d'une autre personne. Celle-ci dispose alors du certificat...
Il faudrait alors pouvoir obtenir un certificat provisoire, mais comme ce serait à l'utilisateur de le demander il y aura forcément des oublis.
Alors, se baser sur l'adresse IP, sur l'adresse MAC ?
Ou demander systématiquement dès qu'une identification par ID/MdP est nécessaire ?
0  0 
Avatar de walfrat
Membre actif https://www.developpez.com
Le 05/03/2019 à 9:41
les utilisateurs se connectent avec des méthodes pratiques telles que les lecteurs d'empreintes digitales, les appareils photo, les clés de sécurité FIDO ou leur appareil mobile ;
Sauf erreur de ma part, il a déjà été démontré que bien des appareils de reconnaissances peuvent être trompé via des photos. En outre si on utilise nos données biométriques, il y a forcément un moment où on peut nous les voler.
On fait quoi une fois qu'elles sont volés ? On va se faire défigurer chez un chirurgien ?

Il reste les clés de sécurité, là au moins je pense qu'on peut aller quelque part.

Mais tout ce qui touche à la reconnaissance d'empreintes et faciales, ça a déjà été trop démonté alors que ce n'est même pas aussi répandu que les mots de passe.
0  0