Le 30 juillet, Microsoft a annoncé la prise en charge officielle de la spécification WebAuthn (ou Web Authentication) dans son navigateur Microsoft Edge. Elle a été implémentée dans une build de Windows 10 Redstone 5 livrée quelques jours plus tôt.
Rappelons-le, WebAuthn est une norme de sécurité qui a été développée par le World Wide Web Consortium (W3C) et la FIDO (Fast IDentity Online) Alliance. Publiée fin mars en tant que recommandation W3C (Candidate Recommendation, abrégé CR), WebAuthn permettra à tout site Web ou service en ligne d'utiliser des applications, des clés de sécurité ou des données biométriques comme méthode de connexion plutôt que les mots de passe, ou d'utiliser ces approches alternatives comme deuxième méthode de vérification. Cette norme viserait donc à éliminer la nécessité de saisir des mots de passe, lorsque les utilisateurs se connectent à Internet. Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing, qui ciblent en général les utilisateurs des sites bancaires ou de boutiques en ligne.
La RC de l'API Web Authentication a été prise en charge prise en charge par Mozilla dans Firefox 60 et par Google dans Chrome 67. Et c'est au tour de Microsoft d'en faire autant. En implémentant cette spécification, Microsoft et les autres fournisseurs de navigateur ont un message clair : propulser un Web sans mot de passe. Cela, selon Microsoft, va permettre des expériences utilisateur meilleures et plus sécurisées sur le Web.
« Rester en sécurité sur le web est plus important que jamais. Nous faisons confiance aux sites Web pour traiter les numéros de cartes de crédit, enregistrer des adresses et des informations personnelles, et même pour traiter les dossiers sensibles comme les informations médicales », explique la firme de Redmond. « Toutes ces données sont protégées par un ancien modèle de sécurité : le mot de passe. Mais les mots de passe sont difficiles à mémoriser et sont fondamentalement peu sûrs, souvent réutilisés et vulnérables au phishing et au cracking », ajoute l'entreprise dans un billet de blog.
Avec le support de WebAuthn, Microsoft explique aussi que son implémentation « fournit le support le plus complet pour l'authentification Web à ce jour, avec un support pour une plus grande variété d'authentificateurs que les autres navigateurs. »
En parlant des authentificateurs dans Microsoft Edge, Microsoft cite Windows Hello, son application qui permet de se connecter aux appareils Windows 10 par simple reconnaissance d’iris ou d’empreintes digitales. « Windows Hello permet aux utilisateurs de s'authentifier sans mot de passe sur un périphérique Windows 10, en utilisant la reconnaissance biométrique des visages et des empreintes digitales, ou un code PIN pour se connecter aux sites Web. Grâce à la reconnaissance faciale Windows Hello, les utilisateurs peuvent se connecter en quelques secondes à des sites prenant en charge Web Authentication, avec juste un coup d'œil ». C'est qu'illustre Microsoft avec l'animation suivante.
Mais les utilisateurs de Microsoft Edge pourront également s'authentifier en utilisant des clés de sécurité FIDO2 externes, comme les clés YubiKey entre autres.
Source : Blog Microsoft
Et vous ?
Que pensez-vous du support de WebAuthn par les principaux fournisseurs de navigateur ?
Partagez-vous l'avis selon lequel le mot de passe est un modèle de sécurité obsolète ?
Voir aussi :
Le W3C publie une nouvelle norme d'authentification, qui permet de se connecter de manière sécurisée aux applications Web sans saisir de mots de passe
Windows 10 : Microsoft présente de nouvelles builds dopées au machine learning pour éviter les redémarrages inopportuns, après des mises à jour
Un ingénieur de Mozilla affirme que YouTube est plus lent sur Firefox et Microsoft Edge que sur Google Chrome
Chrome 67 disponible pour Windows, macOS et Linux avec les API Generic Sensor et WebXR Device, ainsi que de nouvelles fonctionnalités de sécurité
Firefox 60 est disponible avec le support de la norme de sécurité WebAuthn, pour Windows, macOS et Linux
Comme Firefox et Chrome, Microsoft Edge se dote du support de WebAuthn,
La norme de sécurité visant à mettre fin aux mots de passe sur le Web
Comme Firefox et Chrome, Microsoft Edge se dote du support de WebAuthn,
La norme de sécurité visant à mettre fin aux mots de passe sur le Web
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !