Les services web n’ont plus de raison d’exiger un mot de passe
La technologie d'authentification WebAuthn est officiellement adoptée comme standard web. Les sites et applications peuvent se baser sur ce standard pour donner à leurs utilisateurs la possibilité de se connecter plus facilement via la biométrie, les appareils mobiles et les clés de sécurité approuvées.
La progression vers un web sans mot de passe a franchi une étape cruciale. Le World Wide Web Consortium (W3C) et l’Alliance FIDO viennent d'approuver WebAuthn en tant que standard web officiel. Annoncé l'an dernier, WebAuthn est déjà pris en charge dans Windows 10 et Android, ainsi que par les navigateurs Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari (preview). Cette technologie étant désormais un standard approuvé, les services et applications web sont invités à l’activer pour donner à leurs utilisateurs la possibilité de se connecter plus facilement.
Jeff Jaffe, CEO du W3C, déclare: «Le moment est venu pour les services web et les entreprise d'adopter WebAuthn pour déjouer la vulnérabilité des mots de passe et améliorer la sécurité des expériences en ligne des utilisateurs du web. La recommandation du W3C établit des directives d'interopérabilité à l'échelle du web, définissant des attentes cohérentes pour les utilisateurs du web et les sites qu'ils visitent. Le W3C s’efforce de mettre en œuvre cette meilleure pratique sur son propre site.»
Le protocole WebAuthn se base sur une API qui permet aux services web de communiquer avec un dispositif de sécurité pour le processus de connexion. Le dispositif peut par exemple être une clé de sécurité FIDO se branchant sur un port USB, mais aussi un dispositif ou une application biométrique (notamment via l’objectif de la caméra d’un smartphone). Le WC3 et l’Alliance FIDO soulignent que le modèle de sécurité basé sur WebAuthn élimine les risques de hameçonnage et toutes formes de vol de mots de passe. Les identifiants de connexion cryptographiques utilisés sont uniques sur chaque sites et aucune information biométrique ou autres données confidentielles ne quittent le terminal de l'utilisateur ou ne sont stockés sur un serveur, précise encore le WC3 et l’Alliance FIDO. Pour les fournisseurs de services prêts à se familiariser avec les spécifications FIDO2, des outils de test sont fournis et un programme de certification a été lancé.
