Internet sans mot de passe : WebAuthn est désormais un standard web d’authentification

Bientôt un Internet sans mot de passe ? Dans le cadre de son projet FIDO2, l’Alliance FIDO (Fast IDentity Online) et W3C ont annoncé la standardisation de la spécification Web Authentication (WebAuthn). Elle permet de pouvoir se connecter à ses comptes sans mot de passe.

Un Internet plus sûr sans mot de passe

Après la certification FIDO2 d’Android la semaine dernière, l’Alliance FIDO annonce, avec W3C, que la technologie WebAuthn sera désormais un nouveau standard pour les navigateurs web et les plateformes nécessitant une authentification des utilisateurs. Déjà pris en charge dans Windows 10 et Android, ainsi que les navigateurs web Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari, WebAuthn permet aux utilisateurs de se connecter à leurs comptes Internet à l’aide de l’appareil de leur choix.

Avec l’aide de cette technologie, les utilisateurs n’auront désormais plus besoin de retenir un identifiant et un mot de passe, ou de se résoudre à en choisir les plus simplifiés (et les plus vulnérables) pour se connecter à leur compte. « Le moment est venu pour les services Web et les entreprise d’adopter WebAuthn pour déjouer la vulnérabilité des mots de passe et améliorer la sécurité des expériences en ligne des utilisateurs du Web », a déclaré Jeff Jaffe, PDG du W3C. « La recommandation du W3C établit des directives d’interopérabilité à l’échelle du Web, définissant des attentes cohérentes pour les utilisateurs du Web et les sites qu’ils visitent. Le W3C s’efforce de mettre en œuvre cette meilleure pratique sur son propre site. »

Quels avantages à ne plus utiliser de mot de passe ?

En faisant de Web Authn le nouveau standard d’authentification sur le web, FIDO et W3C proposent ainsi des solutions face aux multiples problèmes associés aux mots de passe.

• « Sécurité : les identifiants de connexion cryptographiques FIDO2 sont uniques sur chaque sites Web et aucune information biométrique ou autres secrets tels que les mots de passe ne quittent le terminal de l’utilisateur ou ne sont stockés sur un serveur. Ce modèle de sécurité élimine tout risque de hameçonnage, toutes formes de vol de mots de passe, et les attaques par « rejeu ».
• Commodité : les utilisateurs se connectent avec des méthodes pratiques telles que les lecteurs d’empreintes digitales, les appareils photo, les clés de sécurité FIDO ou leur appareil mobile.
• Confidentialité : les clés FIDO étant uniques pour chaque site Internet, elles ne peuvent pas êtres utilisées pour vous suivre à travers les sites.
• Évolutivité : les site Web peuvent activer FIDO2 par simple appel API sur tous navigateurs et toutes plate-formes équipés, au moyen de milliards d’appareils utilisés quotidiennement par les consommateurs. »

Les sites web, plateformes et fournisseurs de service souhaitant faire appel à WebAuthn peuvent dès maintenant utiliser les outils de test mis à disposition par l’Alliance FIDO et entamer la démarche de certification via ce programme.