Naviguer sur le web sans avoir à rentrer un seul mot de passe, telle est la promesse de « WebAuthn », une technologie d’authentification qui vient de recevoir le statut de « Candidate Recommandation » de la part du W3C. Ce qui la met en très bonne voie pour devenir un futur standard universel du web.

En réalité, WebAuthn n’est pas totalement nouveau. C’est une API web qui résulte d’un effort de standardisation plus large appelé FIDO, apparu en 2014 sous la houlette des géants du web et de certains industriels high-tech. FIDO est une technologie d’authentification dont le but est de se débarrasser des mots de passe en utilisant des certificats électroniques tout en gommant toute la complexité vis-à-vis de l’utilisateur. Autre avantage: il permettra de s’appuyer sur les systèmes biométriques des smartphones, largement diffusés aujourd’hui.

La première version de FIDO n’a pas réussi à percer, c’est pourquoi le consortium FIDO Alliance a présenté assez rapidement FIDO2 dont une partie – l’API WebAuthn – a été soumise auprès du W3C en 2015. Une stratégie visiblement gagnante car la plupart des éditeurs de navigateurs ont depuis signalé leur soutien. L’API WebAuthn est d’ores et déjà intégrée dans la version Nightly de Firefox 60. Elle devrait l’être prochainement dans Chrome et Edge. Cette technologie est également compatible avec Windows et Android. Apple est le seul acteur à ne pas encore avoir rejoint le mouvement.

Des clés publiques et des clés privées

Comment fonctionne l’authentification avec FIDO2 et WebAuthn ? L’internaute devra d’abord choisir un « système authentificateur ». Cela peut être une clé Yubikey, une montre connectée, un dongle USB, le lecteur d’empreinte d’un smartphone, un système de reconnaissance faciale ou vocal, etc. FIDO2 va s’appuyer sur l’authentificateur choisi pour générer une clé publique et une clé privée. La première sera envoyée au site web qui la stockera dans une base de données. La seconde reste en possession de l’internaute et ne sera jamais communiquée à un tiers.

A l’avenir, lorsque l’internaute voudra se loguer, il actionnera par exemple son lecteur d’empreinte ou sa clé Yubikey, ce qui aura pour effet d’envoyer au service en ligne un message d’authentification signé avec la clé privée. Cette signature sera validée grâce à la clé publique, ce qui lui donnera accès au service en ligne.

Les avantages d’un tel système sont multiples, à commencer par la sécurité. Tout d’abord, le site web n’a plus besoin de stocker les mots de passe de ses utilisateurs, mais seulement leurs clés publiques. Il n’y a donc plus de risque de fuite d’identifiants, comme nous l’avons connu ces dernières années avec Yahoo, Linkedin, Adobe, etc. La technologie est également très résistante face aux attaques d’interception de type Man-in-the-Middle. Pour usurper l’identité d’un utilisateur, un attaquant doit disposer de la clé privée et du système authentificateur, sans quoi il ne pourra pas envoyer une signature valide auprès du service web. Les attaques de phishing sont également très difficiles à mettre en oeuvre car le nom de domaine du site est lié de manière cryptographique avec les clés générées par FIDO2. Confronté à une faux site, le système authentificateur n’enverra pas de signature.

Côté facilité d’usage, il y a du pour et du contre. Certes, l’utilisateur n’aura plus à se casser la tête pour trouver un bon mot de passe dont il devra se souvenir. Par contre, il sera dépendant du système authentificateur pour se connecter. S’il s’agit du lecteur d’empreinte de son smartphone, il devra toujours l’avoir sur lui pour accéder à ses services en ligne. On remplace donc une contrainte par une autre. Mais vu le gain au niveau de la sécurité, le jeu en vaut clairement la chandelle. La balle est maintenant dans le camp des éditeurs de sites web qui devront implémenter cette technologie pour que les internautes puissent l’utiliser.

Cet article a été importé d’un feed RSS, cliquez-ici pour voir l’article original