Pour information, c'est un contexte de sécurité animé par les vols de mots de passe et fuites de données qu'en mai 2016, le groupe de travail Web Authentication (WebAuthn) du W3C et l'Alliance FIDO (Fast IDentity Online) ont publié un draft sur la spécification d’une norme d’authentification pour les différents navigateurs : la norme WebAuthn. Son objectif est de permettre à tout site Web ou service en ligne d'utiliser des applications, des clés de sécurité ou des données biométriques comme méthode de connexion plutôt que les mots de passe, ou d'utiliser ces approches alternatives comme deuxième méthode de vérification. Cette norme vise donc à éliminer la nécessité de saisir des mots de passe, lorsque les utilisateurs se connectent à Internet ; le but étant de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing, qui ciblent en général les utilisateurs des sites bancaires ou de boutiques en ligne. WebAuthn a été publié en avril dernier en tant que recommandation W3C, l'étape finale du processus de ratification par le World Wide Web Consortium (W3C).
Le 4 mars 2019, le World Wide Web Consortium (W3C) et l'Alliance FIDO ont annoncé que la spécification Web Authentication (WebAuthn) est désormais un standard Web officiel, ce qu'ils considèrent comme une étape majeure pour rendre le Web plus sûr et plus utilisable par les utilisateurs du monde entier. Ils appellent donc les plateformes en ligne à adopter ce nouveau standard. « Les services et applications Web peuvent — et devraient — activer cette fonctionnalité pour donner à leurs utilisateurs la possibilité de se connecter plus facilement via la biométrie, les appareils mobiles ou les clés de sécurité FIDO, avec une sécurité bien supérieure à celle des seuls mots de passe », lit-on dans le communiqué conjoint du W3C et l'alliance FIDO.
Les mots de passe selon le W3C et l'Alliance FIDO : vulnérables, source de perte de temps et d'argent pour les entreprises
Citant une étude de 2017 de Verizon sur les violations de sécurité, le W3C et l'Alliance FIDO expliquent qu'il est aujourd’hui établi que les mots de passe ont perdu leur efficacité. Les mots de passe par défaut, faibles ou volés sont non seulement à l'origine de 81 % des violations de données, mais en plus ils créent une perte de temps et de moyens. Faisant aussi référence à une récente étude du fournisseur de clés de sécurité Yubico, ils affirment encore que les utilisateurs consacrent 10,9 heures par an à la saisie ou à la réinitialisation de mots de passe, ce qui coûte en moyenne 5,2 millions de dollars par an aux entreprises.
Ils regrettent également que si les solutions traditionnelles d'authentification multifacteurs (MFA) tels que les codes ponctuels reçus par SMS ajoutent une couche de sécurité supplémentaire, elles restent néanmoins vulnérables aux attaques par hameçonnage. En plus, elles ne sont pas simples d'utilisation, et souffrent d'un faible taux d'adoption. D'où la nécessité de passer à FIDO2 et WebAuthn.
FIDO2 et WebAuthn : une solution au problème des mots de passe
Pour information, FIDO2 rassemble la spécification Web Authentication du W3C ainsi que le protocole CTAP (Client-to-Authenticator Protocol) de l'Alliance FIDO. À travers FIDO2 et WebAuthn, les deux organisations estiment que la communauté technologique mondiale a élaboré une solution commune au problème commun des mots de passe : une solution ergonomique contre le vol de mots de passe, le hameçonnage, et les attaques par « rejeu » (une attaque de type Homme du milieu). FIDO2 résoudrait en effet tous les problèmes associés à l'authentification traditionnelle, comme cela est expliqué dans le communiqué du W3C et l'alliance FIDO :
- sécurité : les identifiants de connexion cryptographiques FIDO2 sont uniques sur chaque site Web et aucune information biométrique ou autre secret tel que les mots de passe ne quittent le terminal de l'utilisateur ou ne sont stockés sur un serveur. Ce modèle de sécurité élimine tout risque de hameçonnage, toutes formes de vol de mots de passe, et les attaques par « rejeu » ;
- commodité : les utilisateurs se connectent avec des méthodes pratiques telles que les lecteurs d'empreintes digitales, les appareils photo, les clés de sécurité FIDO ou leur appareil mobile ;
- confidentialité : les clés FIDO étant uniques pour chaque site Internet, elles ne peuvent pas être utilisées pour vous suivre à travers les sites ;
- évolutivité : les sites Web peuvent activer FIDO2 par simple appel API sur tous navigateurs et toutes plateformes équipés.
Précisons que le standard WebAuthn est déjà pris en charge dans Windows 10 et Android, ainsi que les navigateurs web Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari (en préversion). Cela montre que son adoption est sur la bonne voie. L'Alliance FIDO a également lancé un programme de certification pour les fournisseurs prêts à déployer le standard sur leurs navigateurs ou plateformes. Ce qui pourra accélérer la fin des mots de passe.
Source : W3C
Et vous ?
Avec la finalisation de la norme WebAuthn et les avantages évoqués, pensez-vous qu'il y ait encore une raison valable d'utiliser les mots de passe ?
Ou faites-vous partie de ceux qui pensent que les mots de passe, lorsqu'ils respectent de bonnes règles de sécurité, sont des moyens d'authentification très surs ?
Voir aussi :
Avec les normes d'authentification FIDO2 intégrées à Android 7.0+, les utilisateurs pourront s'affranchir des MdP sur leurs applications et sites
La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport
Une solution d'authentification propose aux développeurs d'implémenter WebAuthn, mais elle nécessite une clé de sécurité USB pour fonctionner
Les clés de sécurité physiques Titan de Google sont fabriquées par une entreprise chinoise, ce qui inquiète des experts du domaine
Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google