WebAuthn est désormais le standard officiel de l'authentification sans mot de passe

Mathieu Grumiaux
Par Mathieu Grumiaux, Expert maison connectée.
Publié le 05 mars 2019 à 19h36

Le dispositif d'authentification est désormais un standard qui va être déployé dans l'ensemble des navigateurs et des systèmes d'exploitation. Il vise à remplacer à terme le bon vieux mot de passe.

Le World Wide Web Consortium (W3C) plante le dernier clou dans le cercueil du mot de passe. Le consortium chargé de normaliser et de promouvoir les technologies du web annonce que WebAuthn est désormais un standard et doit être appliqué à l'ensemble des systèmes reliés à Internet.

Une identification plus sécurisée qui conserve les données localement

WebAuthn est un dispositif permettant de mieux sécuriser l'identification à un service, comme un compte sur un site web ou l'accès à son profil utilisateur sur Windows. Il exige soit une reconnaissance biométrique (empreinte digitale, scan du visage) ou une clé de sécurité physique pour authentifier l'utilisateur.

Les informations de connexion sont chiffrées et restent présentes uniquement sur la machine, réduisant ainsi considérablement le risque de phishing.

Les sites web doivent maintenant se mettre à jour et intégrer WebAuthn

Dans les faits, WebAuthn a déjà fait son bonhomme de chemin et est adopté par les plus grandes sociétés technologiques. Google Chrome, Firefox et Microsoft Edge l'ont déjà intégré et Apple a commencé les tests dans son navigateur Safari.

Microsoft a également étendu son support à Windows 10 et offre la possibilité d'utiliser une clé de connexion compatible avec le standard FIDO.

À terme, le W3C souhaite supprimer l'emploi d'un mot de passe, trop simple à pirater et trop facile à oublier pour les utilisateurs. Les sites web doivent maintenant intégrer WebAuthn dans leurs formulaires de connexion. Twitter, Facebook, Dropbox ou encore GitHub ont déjà mis à jour leurs plateformes en ce sens.

Source : Engadget

Mathieu Grumiaux
Expert maison connectée
XLinkedIn
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (7)
Zourbon

je me méfie des idées miracles et aussi de cette sollicitude envers les pauvres internautes.
Pour ce qui est de la biométrie, c’est encore mieux pour les pirates mais surtout mieux pour les gouvernements et les vendeurs de pubs pour nous fliquer.
De toute façon , quand on prétend faire un truc pour la masse, on est obligé de tomber dans une dictature, car nos sauveurs nous estimeront toujours trop cons pour se débrouiller tout seul.
Ce qui serait bien , c’est que Clubic au lieu de pomper des articles repris partout sur le net, nous explique comment fonctionnera ce système.
Non pas que la partie clé usb ou biométrie mais entre soi et les sites internets.
Identifiant unique, piratable ? Valable sur tous les sites ?

cristaline150

Un système qui fonctionne pas mal, je trouve, en Belgique, est “itsme”.
Il faut s’enregistrer sur la plate forme via sa carte d’identité électronique. Ensuite télécharger l’application sur son téléphone mobile. Lors d’un besoin d’authentification, l’application se lance sur votre smartphone, vous vérifiez les informations et validez avec votre code pin. Vous êtes loggé. Simple, rapide, efficace.

twist_54

un mot de passe ça se change… des données biométriques non. Donc une fois usurpées on est foutu à vie ?

greee

je trouve le prix de la clef (55 €) un peu élevé

K4minoU

bah problème moderne, solution moderne :

tu utilises le doigt de ta femme, si pb, tu changes de femme… une pierre deux coups XD

ok je sors…

mais plus sérieusement, je n’ai pas encore le temps de tout lire, mais si la spec parle de clés asynchrones, alors je pense que tu n’as aucun risque (https://www.w3.org/TR/webauthn/)

T’as juste à révoquer une clée perdue et de toutes les façons c’est tjs la clé public que tu communiqueras

Tu peux faire un test ici https://webauthn.org/

Ce qui m’ennuie par contre, c’est de devoir éventuellement acheter une application et/ou une vraie clée qui gère les couples de clées…

En tous les cas, je trouve que c’est plus rassurant de naviguer directement dans un tunnel sécurisé et les hackers n’auront d’autres alternatives que de te casser la gueule pour avoir ton hardware… ^^ Donc s’ils le veulent vraiment ils pourront, et ça, c’est pour le coup moins rassurant de voir débarquer chez toi une armée de pirates qui te veulent la peau et accessoirement ta clé =D

verdy_p

Le site “webauthn.org” est déjà compromis et piraté, avec des certificats invalides.
Ca laisse un gros doute sur la validité technique de ce dispositif quand la démo officielle est déjà cassée avant même son adoption globale.

verdy_p

De toute façon pour l’instant ça ne marche pas s’il faut un capteur ou un matériel spécifique, qu’on ne trouve pratiquement que sur smartphone (qu’on peut facilement perdre ou se faire voler et assez fragile avec une durée de vie qui maintenant n’excède plus 2 ou 3 ans).
pour aller au delà et sécuriser les accès sur d’autres appareils, Webauthn devra être utilié avec un système de double authentification, et là on revient aux solutions classiques (par mail, très peu sûr et facilement piraté, ou par SMS, là encore pas sécurisé du tout en international car les opérateurs de téléphonie n’ont toujours pas mis en place la sécurisation de bout en bout et la certifications de l’identité des appelants et sont encore à l’ère du vieux protocole ITU numéro 7 du début des années 1980’s, qui n’était “sûr” à l’époque que par le fait que les télécoms étaient encore des monopoles d’état dans presque tous les pays; aujourd’hui ce protocole est mis à mal avec les arnaques par téléphone passant par des passerelles internationales que personne ne peut éradiquer, l’Europe et la France veulent imposer la sécurisation des réseaux téléphoniques mais cela ne peut encore s’appliquer que pour les appels intranationaux, le reste est une passoire et tout est permis et pas cher à exploiter).

Le W3C devrait maintenant se pencher sérieusement pour convaincre l’ITU d’abandonner ses vieux protocoles et bannir les vieilles passerelles d’interconnexion de réseaux. La passoire d’Internet est maintenant TRES fortement liée à ces passerelles que personne ne peut controler et où il n’y a jamais eu de sécurisation de bout en bout alors que les standards pour la supporter existent depuis des dizaines d’années et sont même obligatoires sur les réseaux nationaux (et utilisées par les services public de sécurité et d’urgence qui sont pourtant incapables d’identifier et tracer les appels internationaux, y compris les appels nationaux par des passerelles satellite) et par les réseaux internes des armées (qui ont leur propre protocole privé de sécurisation de bout en bout par transport et routage crypté qui peut être véhiculé sur n’importe quel réseau ouvert ou n’importe quelle fréquence utilisable.

De même l’ICANN doit travailler à sécuriser le DNS, l’IETF doit travailler à sécuriser réellement les protocoles de passerelles internet. l’ICANN doit sécuriser le routage IP (et les annonces IGP).

Il y a bien des tonnes de trous à combler avant que “l’authentification à deux facteurs” devienne réellement fiable, et puisse enfin assurer une indépendance des matériels utilisés.

En attendant on n’a pas mieux que le chiffrement et l’authentification par échange de clés avec les algos à clés multiple.

La solution “biométrique” n’est pas du tout viable. C’est comme si on avait un mot de passe à vie, c’est trop facile à dupliquer et impossible à changer et c’est une horreur en terme de protection de la vie privée (et aussi pour le secret des affaires).

A mon avis les meilleures solutions seront basées sur le chiffrement à triple clé (et non à double clé) où l’utilisateur disposera d’un large choix entre deux tiers indépendants et aucun tiers ne pourras agir seul. Et même à l’avenir des degrés plus élevés (authentification multiple avec plusieurs matériels détenus par l’utilisateur et une variété de tiers, l’utilisateur disposant encore d’une majorité décisive).

Les algos de chiffrement à clés triples existent déjà (ce sont en fait des extensions simples du système à paire de clés, mais avec plusieurs clés privés et une seule clé publique). Mais ils sont encore interdits à l’export car cela nécessite des longueurs de clés très longues (et en est encore limité à des clés de 1024 bits; pour les clés triples il faut au minimum 1536 bits, pour des clés quadruples, il faut des clés de 2048 bits, et plus on augment la taille des clés plus il faut une puissance de calcul suffisante pour assurer un bon débit par les détenteurs légitimes des clés, tout en garantissant le même niveau de sécurité contre les attaques de type “brute force” ou cryptanalytiques… Hors nos smartphones et processeurs en sont encore incapables, il n’y a que les matériels militaires, interdits à l’export qui disposent du matériel et ils sont hors de prix)

Pourtant même en dehors du chiffrement des communications, le chiffrement fort est nécessaire pour l’échange des clés d’authentification, et là il y a encore des manques dans les protocoles d’authentification et dans l’infrastructure PKI qui ne permettent pas encore de stocker ou échanger des clés très longues: on a encore la limite de 1024 bits, donc seulement le chiffrement à paire de clés)

Dernières actualités
Le moteur de recherche Ecosia s'invite au sein de Firefox
Sur Android, Chrome pourra faire le ménage dans vos onglets en double
Sur les navigateurs, l'option Do Not Track ne sert à rien, et même Firefox la retire
Pour Microsoft, l'IA est l'avenir des navigateurs Web
Copilot Vision : après l'IA qui fliquait votre PC, Microsoft présente celle qui vous "aide" à mieux naviguer
10 ans plus tard, vous pouvez enfin utiliser iCloud avec Firefox
Sur Android, Chrome n'a jamais été aussi rapide
Microsoft Edge : comment essayer les nouveaux thèmes générés par IA
Facebook
X
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles