RTFlash

Bientôt une authentification sans mot de passe sur le Web

Aujourd'hui, les internautes doivent jongler entre une multitude d’identifiants et de mots de passe. Et même si les navigateurs disposent de fonctions pour enregistrer les mots de passes, ces modes d'identification comportent de nombreuses failles, d'autant plus que les utilisateurs choisissent souvent des mots de passe très simples et ne les modifient pas assez régulièrement.

Pourtant, des solutions d’authentification existent déjà grâce à la biométrie. Microsoft (Windows Hello) et Apple (Touch ID et Face ID) permettent de déverrouiller les smartphones, les tablettes et les ordinateurs portables en utilisant l’empreinte digitale ou le visage de l’utilisateur. En outre, Android gère l'authentification par empreinte digitale depuis la version 6.0 de l'OS. Apple va encore plus loin avec son service de paiement Apple Pay puisqu’il suffit d’utiliser son visage ou son empreinte digitale pour valider une transaction.

Hélas, ces solutions sont propriétaires, ce qui pose un problème pour disposer d'un système d’authentification universel sur le Web. De plus, pour le moment, il faut passer par un procédé intermédiaire pour se connecter à un site web sécurisé. Ainsi, Apple peut stocker les mots de passe des sites dans le trousseau (iCloud Keychain) de l’utilisateur. Pour accéder au trousseau, il faut alors s’authentifier en utilisant Touch ID ou Face ID. Le gestionnaire de mots de passe 1Password utilise le même procédé qui s’effectue donc en deux temps quand on se connecte sur un site Web et nécessite quand même un mot de passe au niveau du site.

L’idéal serait de pouvoir se passer définitivement de mot de passe et d’utiliser d’autres moyens pour s’authentifier. Bonne nouvelle pour les utilisateurs, l’authentification sans mot de passe est sur le point de devenir une réalité.

De nombreuses sociétés travaillent en effet sur de nouvelles technologies pour offrir une connexion simple et sécurisée. L'une des pistes les plus intéressantes est la conception d’un système d’authentification universel pour les sites Web qui puisse s’interfacer avec les technologies biométriques existantes. Telle est la promesse de l’API WebAuthn de l’alliance FIDO (Fast IDentity Online).

Le consortium industriel FIDO (plus de 260 membres) propose des solutions d'authentification fortes et surtout interopérables. Il vient de publier le nouveau standard FIDO2 qui comporte en particulier l’API WebAuthn. Cette interface permet l’authentification sur un site Web par l'utilisation de clés publiques et privées.

La méthode assure une sécurité élevée car les clés privées ne circulent pas et aucun mot de passe n'est stocké sur le serveur du site. L'interface de programmation peut utiliser le capteur biométrique de l'appareil (lecteur d'empreintes digitales, reconnaissance de l'iris ou du visage) pour valider l'authentification. Cette interface fonctionne également avec les systèmes d’authentification externes (USB, Bluetooth ou NFC) en association avec le protocole CTAP (Client to Authenticator Protocol), second composant du standard FIDO2.

Lun des premiers systèmes externes disponibles est la Security Key de Yubico qui coûte environ 20 euros et remplace le mot de passe lors de la phase d'authentification. Il suffit de la connecter au port USB de l'ordinateur et d'appuyer sur le bouton jaune comportant le dessin d'une clé. La procédure est simple et efficace.

Article rédigé par Georges Simmonds pour RT Flash

01Net

Noter cet article :

 

Vous serez certainement intéressé par ces articles :

Recommander cet article :

  • mbrtflash

    19/01/2019

    Excellent article, merci !

  • back-to-top