BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités W3C Et l'Alliance FIDO Ont Finalisé WebAuthn, Norme Web Pour Connexions Sécurisées Sans Mot De Passe

W3C Et l'Alliance FIDO Ont Finalisé WebAuthn, Norme Web Pour Connexions Sécurisées Sans Mot De Passe

Le Consortium World Wide Web (W3C) et l'Alliance Fast IDentity Online (FIDO) ont récemment annoncé que la spécification Web Authentication (WebAuthn) est désormais un standard Web officiel. WebAuthn permet aux utilisateurs de se connecter via des données biométriques, des appareils mobiles et/ou des clés de sécurité FIDO, avec une sécurité accrue par rapport à un simple mots de passe.

WebAuthn est une nouvelle API Web pour navigateurs et plates-formes Web qui permet la création et l'utilisation d'identifiants forts, attestés et basés sur une clé publique par les applications Web, à des fins d'authentification de l'utilisateur. WebAuthn est déjà pris en charge par les navigateurs Web Windows 10, Android, Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari. WebAuthn a été implémenté sur les principaux sites Web tels que Dropbox, Facebook, GitHub, Salesforce, Stripe et Twitter. Yubico, membre du W3C, a témoigné de l’importance de WebAuthn et de sa disponibilité multi-navigateurs et multi-plateformes:

(…) La normalisation de WebAuthn du W3C marque une étape importante dans l'histoire des normes d'authentification ouverte et de la sécurité Internet. Ensemble, nous avons réalisé l'impossible : créer un standard mondial pris en charge par toutes les plateformes et tous les navigateurs.

La recommandation WebAuthn du W3C constitue un élément important d' l'ensemble de spécifications FIDO2 de l'Alliance FIDO. Une caractéristique importante de FIDO2 reflétée dans WebAuthn est la vérification de l'origine pour empêcher les attaques de type phishing. L'analyse de rentabilisation de WebAuthn sur le Web repose sur les coûts liés à la sécurité insuffisante induite par l'authentification par mot de passe :

the authentication problem

Pour utiliser WebAuthn, l'utilisateur a besoin d'un périphérique de sécurité externe (comme une clé de sécurité FIDO 2) ou d'authentification internes (tels que des lecteurs d'empreintes digitales ou une reconnaissance faciale).

Au-delà des aspects techniques, un aspect important de WebAuthn est de permettre l’apparition de dispositifs d’authentification utilisables et peu coûteux, afin de favoriser l’adoption de la norme. Pour favoriser l’adoption, FIDO Alliance fournit des outils de test et un programme de certification. Trusona, fournisseur de technologies d'authentification sans mot de passe pour les entreprises, mentionne:

Le nouveau protocole repose sur l'utilisation d'un PC ou d'un ordinateur portable disposant de la biométrie, ou oblige l'utilisateur à posséder (ou à acheter) un jeton matériel. Toute exigence supplémentaire ou tout coût supplémentaire pour le consommateur peut entraver l’adoption généralisée de cette nouvelle solution.

L’alliance FIDO (Fast IDentity Online), www.fidoalliance.org, a été créée en juillet 2012 pour remédier au manque d’interopérabilité entre les technologies d’authentification forte et pour résoudre les problèmes de sécurité liés à la création et à la mémorisation de plusieurs noms d’utilisateur et de leurs mots de passe.

Le World Wide Web Consortium (W3C) a pour mission de créer des normes techniques et des directives visant à garantir que le Web reste ouvert, accessible et interopérable pour tous.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT