Recevez chaque jour toute l'actualité du numérique

x

Comment l’Alliance FIDO et le W3C viennent d'entériner la fin des mots de passe sur les sites Web

L’Alliance FIDO a annoncé lundi 4 mars 2019 l’adoption par le World Wide Web Consortium (W3C) de son standard WebAuthn. L’objectif : réduire au maximum le recours aux mots de passe, jugés trop peu sécurisés, pour laisser place à l’authentification forte via la biométrie.
Twitter Facebook Linkedin Flipboard Email
×

Comment l’Alliance FIDO et le W3C viennent d'entériner la fin des mots de passe sur les sites Web
La spécification WebAuthn de l'Alliance FIDO, devenue standard officiel, permettra de s'affranchir de mots de passe grâce à la biométrie. © D.R

"L’avenir est à l’authentification forte." C'est ce que réaffirme Alain Martin, vice-président chargé des partenariats stratégiques chez Gemalto et directeur au board de l’Alliance FIDO, alors que le World Wide Web Consortium (W3C) a élevé la spécification WebAuthn au rang de standard Web officiel lundi 4 mars 2019. L'objectif de cette dernière : permettre aux utilisateurs d’appareils électroniques de s’affranchir de mots de passe, jugés trop peu sécurisés, lors de leurs connexions aux sites Internet qu'ils visitent.

 

UNE AUTHENTIFICATION à MULTIPLES FACTEURS

"WebAuthn requiert de s’authentifier grâce à la biométrie (reconnaissance faciale ou empreinte digitale par exemple, ndlr). Un serveur envoie ensuite un message crypté qui permet de prouver que l’appareil est bien celui de l’utilisateur", explique Alain Martin. C’est donc une solution d’authentification à multiples facteurs que promeut l’Alliance FIDO, association de 250 entreprises parmi lesquelles figurent les géants Microsoft, Mastercard ou encore Qualcomm.

 

"Ce nouveau standard se traduira notamment via des API présents dans les navigateurs Web. Ainsi, il sera possible de créer une nouvelle clé cryptée pour chaque service utilisé", avance Alain Martin. L’adoption de WebAuthn par le W3C intervient à point nommé. A partir du mois de septembre 2019, l’authentification forte sera obligatoire dans l’Union européenne pour toute connexion sur un site Web commercial. Il s'agit d'une des conséquences de l'entrée en vigueur de la deuxième directive sur les services de paiement (DSP2), dont l'objectif est de limiter la fraude en ligne.

 

"SéCURISER LES DONNéES ENTRE PRESTATAIRE ET USAGER"

Derrière WebAuthn, c’est le système FIDO2 qui mène la barque. Ce dernier permettra de contrer toute tentative de hameçonnage par des hackers : aucune information, qu’il s’agisse de mots de passe ou de données biométriques, ne sera échangée. Autre avantage, son intégration native dans des systèmes d’exploitation toujours plus nombreux. "Google a notamment déployé FIDO2 dans la dernière version d’Android, indique Alain Martin. Les smartphones compatibles avec ce système sont donc par défaut des appareils certifiés et sécurisés par l’authentificateur que nous avons développé."

 

Samsung est, lui, devenu le premier constructeur à passer avec succès le programme de certification FIDO2 avec ses smartphones S10 et S10+. Ce dernier vise à vérifier la bonne implémentation de la norme dans les appareils, en s’assurant de son interopérabilité et de la fiabilité de sa sécurité. Santé, banque ou commerce : les cas d’usage de cette norme sont divers. L’Alliance dit espérer qu'elle "permettra de répondre au défi actuel autour de la sécurisation des données entre un prestataire de service et son usager". Très bientôt, les mots de passe auront donc définitivement disparu. Et vous ne quitterez jamais ce dont vous aurez besoin pour vous identifier… votre visage ou le bout de votre doigt.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media