Avec les normes d'authentification FIDO2 intégrées à Android 7.0+, les utilisateurs pourront s'affranchir des MdP
Sur leurs applications et sites

Le , par Olivier Famien

181PARTAGES

13  0 
Aujourd’hui, avec les nombreux comptes ouverts en ligne, chaque utilisateur se tourne vers sa solution de choix pour faciliter la gestion de ses mots de passe. Alors que certains utilisateurs porteront leur dévolu sur les gestionnaires de mots de passe pour ne plus se prendre la tête avec les mots de passe, d’autres internautes préféreront recourir à des solutions comme les tableurs ou simplement du papier pour gérer leurs mots de passe. Bien que l’unanimité ne pourra pas se faire sur la méthode la plus fiable pour gérer les mots de passe en ligne, une alliance nommée FIDO s’est donné pour mission de faciliter aux utilisateurs l’authentification aux services en ligne et a mis sur pied un projet baptisé FIDO2 qui est un ensemble d’initiatives composé de la spécification d’authentification Web (WebAuthn) du W3C et du protocole CTAP (Client-to-Authenticator Protocol).

WebAuthn définit une interface d’authentification aux applications web. Elle est en fait une extension de l’API « ;Credential Management ;» qui définit comment les agents utilisateur (un navigateur web, un gestionnaire de téléchargements par exemple, ou toute autre application cliente accédant au web) doivent interagir avec un gestionnaire de mot de passe. Le protocole CTAP pour sa part est un protocole de couche d’application utilisé pour la communication entre un client (navigateur par exemple) ou une plateforme (système d’exploitation) avec un authentifiant externe. En bref, il permet aux périphériques externes tels que les mobiles ou les clés de sécurité FIDO de fonctionner avec WebAuthn et de servir d’authentificateurs aux applications de bureau et aux services Web.


Bien que ces explications pourraient paraître un plus compliqué pour les simples utilisateurs, il faut savoir que les applications ou sites web qui utilisent la norme d’authentification FIDO2 offrent l’authentification sans mot de passe. Aussi, vu les avantages que procurent ces normes FIDO, les principaux navigateurs, notamment Google Chrome, Edge, Firefox et Safari (prise en charge en phase d’expérimentation), ont intégré ces moyens d’authentification.

Android, qui est de loin le système d’exploitation mobile le plus utilisé au monde avec presque 75 % de part de marché en janvier 2019 selon les données récoltées par Statcounter, vient également de franchir le pas et est maintenant certifié FIDO2. L’annonce a été faite par FIDO Alliance au MWC 2019 qui a démarré depuis quelques heures.

Pour les développeurs, cette certification permettra d’accroître la sécurité de leurs applications en ajoutant l’authentification forte FIDO par le biais d’un simple appel d’API. Du côté des utilisateurs, l’intérêt de cette solution se fera remarquer par le fait qu’ils pourront « ;exploiter le capteur d’empreinte digitale intégré et/ou les clés de sécurité FIDO de leur appareil pour un accès sécurisé sans mot de passe aux sites Web et aux applications natives prenant en charge les protocoles FIDO2 ;». En outre, FIDO Alliance promet aux utilisateurs, une protection contre le phishing, les attaques de tiers et les attaques utilisant des informations volées.

Cette certification FIDO2 pour Android s’adresse à la version 7.0 et les versions ultérieures du système d’exploitation de Google. « ;Avec cette nouvelle, tout appareil compatible fonctionnant sous Android 7.0+ est désormais certifié FIDO2 prêt à l’emploi ou après une mise à jour automatisée des services Google Play ;», précise FIDO Alliance.

À la suite de cette annonce, Brett McDowell, directeur exécutif de FIDO Alliance, explique que « ;FIDO2 a été conçu dès le départ pour être implémenté par des plateformes, avec l’objectif ultime d’ubiquité sur tous les navigateurs Web, appareils et services que nous utilisons quotidiennement. Grâce à ces nouvelles de Google, le nombre d’utilisateurs dotés des fonctionnalités d’authentification FIDO a augmenté de façon spectaculaire et décisive. Avec les principaux navigateurs Web déjà compatibles avec FIDO2, le moment est venu pour les développeurs de sites Web d’affranchir leurs utilisateurs du risque et des problèmes de mots de passe et d’intégrer l’authentification FIDO aujourd’hui ;».

Source : FIDO Alliance

Et vous ?

Comment accueillez-vous cette nouvelle ;?

Pensez-vous que cette certification FIDO2 va réduire le nombre d’attaques sur Android ;?

Voir aussi

Le gestionnaire de mots de passe Blur expose les data de près de 2,4 millions d’utilisateurs
à cause d’une erreur de configuration d’instance AWS
La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport
Les pires mots de passe 2018 : « ;123456 ;» trône en tête du classement pour la cinquième année consécutive et est suivi par « ;password ;» comme en 2017
Gestionnaires de mots de passe intégrés aux pages Web ou applications indépendantes, de quel bord êtes-vous ;? Tim Bray d’Amazon explique son choix
Android : les gestionnaires de mots de passe les plus populaires présentent des vulnérabilités critiques, selon les chercheurs en sécurité de TeamSIK.

Une erreur dans cette actualité ? Signalez-le nous !


 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web