Le W3C publie une nouvelle norme d'authentification
Qui permet de se connecter de manière sécurisée aux applications Web sans saisir de mots de passe

Le , par Michael Guilloux, Chroniqueur Actualités
Les mots de passe ont toujours été parmi les principaux points faibles de la sécurité des utilisateurs en ligne. Un mot de passe volé par un hacker peut être utilisé par ce dernier pour essayer de se connecter à d'autres comptes de sa victime. Vu que les utilisateurs peuvent avoir à gérer de nombreux comptes en ligne, certains n'hésitent pas réutiliser le même mot de passe sur plusieurs sites pour éviter de se retrouver dans l'impossibilité d'accéder à l'un des comptes, après avoir oublié son mot de passe. Et c'est une faiblesse que cherchent très souvent à exploiter les hackers.

Malheureusement, on a assisté ces dernières années à de nombreuses violations de sécurité qui ont touché des sites populaires et réseaux sociaux. De grosses bases de données contenant des mots de passe et autres données personnelles se sont donc retrouvées sur le marché noir et entre les mains d'acteurs malveillants.

Dans un contexte de sécurité animé par les vols de mots de passe et fuites de données, en mai 2016, le groupe de travail Web Authentication (WebAuthn) du W3C et la FIDO (Fast IDentity Online) Alliance ont publié un draft sur la spécification d’une norme d’authentification pour les différents de navigateur. La norme, appelée WebAuthn, permettra à tout site Web ou service en ligne d'utiliser des applications, des clés de sécurité ou des données biométriques comme méthode de connexion plutôt que les mots de passe, ou d'utiliser ces approches alternatives comme deuxième méthode de vérification. Cette norme viserait donc à éliminer la nécessité de saisir des mots de passe, lorsque les utilisateurs se connectent à Internet. Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing, qui ciblent en général les utilisateurs des sites bancaires ou de boutiques en ligne.


WebAuthn vient d'être publié en tant que recommandation W3C, l'étape finale du processus de ratification par le World Wide Web Consortium (W3C), et est donc officiellement une norme. Cela veut dire que le standard a bénéficié d'une revue et de tests extensifs, sur des considérations à la fois théoriques et pratiques. Il est donc soutenu par le W3C comme un standard pouvant être largement déployé dans son domaine.

« Cette spécification définit une API permettant la création et l'utilisation d'informations d'identification basées sur des clés publiques fortes et attestées par des applications Web, dans le but d'authentifier fortement les utilisateurs », peut-on lire sur le site du W3C. « Conceptuellement, une ou plusieurs informations d'identification de clé publique sont créées et stockées sur un authentificateur par l'agent utilisateur en conjonction avec l'application Web. L'agent utilisateur gère l'accès aux informations d'identification de clé publique afin de préserver la confidentialité des utilisateurs. » Et « les authentificateurs sont responsables de s'assurer qu'aucune opération n'est effectuée sans le consentement de l'utilisateur. » La spécification décrit également le modèle fonctionnel des authentificateurs conformes à la norme WebAuthn.

Le support de WebAuthn est déjà ajouté dans Firefox. La norme sera également déployée sur Microsoft Edge et Google Chrome dans les mois à venir. « Nous ne pouvons pas partager de détails sur les délais [pour la prise en charge de WebAuthn] à ce stade », a expliqué Christiaan Brand, chef de produit, Identité et Sécurité chez Google. Mais « Chrome prend en charge les initiatives FIDO et WebAuthn et nous espérons voir un support plus tard en 2018 », a-t-il dit dans un email envoyé à Vice Media. Microsoft, pour sa part, dit être « entièrement engagé à ajouter le support de WebAuthn dans Edge. » Opera s'est également engagé à supporter la norme.

Sources : W3C, Vice

Et vous ?

Que pensez-vous de cette nouvelle norme ?
Quels sont ses avantages et inconvénients ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de - https://www.developpez.com
le 11/04/2018 à 18:24
Registration and Authentication : C'est une alternative méthodique à celle de certaines applications de " messagerie instantanée "...
Avatar de rambc rambc - Membre expérimenté https://www.developpez.com
le 12/04/2018 à 23:52
Que faire si ma "donnée" biométrique est piratée ? Un code est facile à changer, une "donnée" biométrique beaucoup moins...
Avatar de byrautor byrautor - Membre actif https://www.developpez.com
le 20/04/2018 à 17:57
Quelle pagaille !
Avatar de Cyrilh7 Cyrilh7 - Membre régulier https://www.developpez.com
le 20/04/2018 à 20:26
Le protocole TLS n'est-il pas fait pour ça ? Il permet d'authentifier les utilisateurs, non pas sur la base d'un couple utilisateur/mdp mais sur la génération d'un certificat, validé côté serveur.
Je pense que tu veux parler d'authentification mutuelle (avec certificat client). Attention, TLS n'est pas souvent utiliser comme cela, car cela impose au client d'avoir obtenu au préalable un certificat, de gèrer le renouvellement de celui-ci, et si le client utilise plusieurs machines, ça devient un calvaire...

Après, pour réellement avoir de la sécurité il faudrait commencer par avoir des listes de certificats autorisés, plutôt que des arborescences de CAs opaques et qui peuvent signer tout et n'importe quoi.
Libres à toi de supprimer les CA auxquels tu ne fait pas confiance de ton magasin de certificat.... De même tu peux génèrer ta propre CA (même si dans ce cas, ça complique un peu plus la chose...)
Avatar de dasdeb dasdeb - Membre habitué https://www.developpez.com
le 21/04/2018 à 19:27
Cyrilh7, c'est ce que j'utilise pour faire de mon serveur mail un relais privé.
J'ai créé un certificat que Postfix utilise pour me reconnaître et que j'ai dans thunderbird.

Pour s'identifier avec un site, c'est plus dangereux par contre.
Un membre s'enregistre (couple identifiant/mot de passe) et reçoit un certificat.
S'il va sur un autre ordi, il doit utiliser le couple identifiant/mot de passe et reçoit le même certificat.
Le problème est s'il utilise l'ordi d'une autre personne. Celle-ci dispose alors du certificat...
Il faudrait alors pouvoir obtenir un certificat provisoire, mais comme ce serait à l'utilisateur de le demander il y aura forcément des oublis.
Alors, se baser sur l'adresse IP, sur l'adresse MAC ?
Ou demander systématiquement dès qu'une identification par ID/MdP est nécessaire ?
Contacter le responsable de la rubrique Accueil