Normes d’authentification : les évolutions à venir

AuthentificationSécurité
openssh-fido

Nous assistons depuis plusieurs années à l’émergence d’une confluence de normes qui se regroupent pour favoriser l’évolution du Web et de l’informatique en ligne, qui permettent la mise en place de systèmes plus sophistiqués ainsi que de nouvelles innovations dans les entreprises.

Le développement des normes d’authentification est bien souvent le fruit de plusieurs années de travail acharné. Il faut en effet du temps pour franchir de nouvelles étapes, alimenter l’ensemble de l’écosystème de sécurité ainsi que pour garantir la sécurité des flux digitaux dans toute l’entreprise. Si les avantages procurés par cette mission sont souvent invisibles pour l’utilisateur final, les RSSI et les développeurs en font chaque jour une priorité.

Les objectifs des normes d’authentification en 2021 et au-delà

Nous assistons depuis plusieurs années à l’émergence d’une confluence de normes qui se regroupent pour favoriser l’évolution du Web et de l’informatique en ligne, qui permettent la mise en place de systèmes plus sophistiqués ainsi que de nouvelles innovations dans les entreprises.

La norme FIDO2 / WebAuthn, la première mondialement acceptée pour l’authentification sur le web, et ratifiée comme telle par le World Wide Web Consortium depuis plus de deux ans maintenant, permet une meilleure sécurisation. Elle est fondée sur la cryptographie à clé publique qui élimine la nécessité de créer et de stocker les mots de passe en un point central où ils sont exposés aux violations de données.

De plus, elle permet aux utilisateurs de bénéficier de plusieurs moyens d’authentification, y compris le choix de recourir à un authentificateur externe, en proposant la prise en charge de nombreux dispositifs d’authentification ; ce qui se traduit par un certain degré de personnalisation et encourage l’abandon des mots de passe, au profit de méthodes de sécurité plus sûres et plus conviviales.

WebAuthn est actuellement une solution phare. La deuxième itération de la spécification a été finalisée le 8 avril 2021. Le groupe de travail a ajouté quelques fonctionnalités, notamment de nouveaux types de certificats, la possibilité de stocker des données liées aux certificats et l’utilisation limitée des iframes.

Le pendant de la norme FIDO à la spécification WebAuthn du W3C — le Client to Authenticator Protocol (CTAP) 2.1 — est attendu dans le courant de l’été et définira l’authentification sans mot de passe, à second facteur ou à plusieurs facteurs à l’aide de navigateurs et de systèmes d’exploitation compatibles avec FIDO2.

L’une des principales tendances qui façonnent actuellement les normes d’authentification est le travail à distance et le travail hybride. Il s’agit plus précisément de déterminer comment résoudre des problèmes tels que l’intégration en toute sécurité d’une personne qui n’est pas physiquement présente sur un site et dont l’identité doit être vérifiée, et comment procéder à cette opération à grande échelle. Si l’entreprise est capable de le faire — intégrer des personnes sans même les voir — et ce, en toute sécurité, cela permettra aux grandes organisations d’économiser beaucoup d’argent dans un contexte où le travail à distance est en pleine expansion.

D’autres tendances favorisent l’adoption de normes. Apple a récemment adopté WebAuthn avec une prise en charge sous MacOS 11 et iOS 14.3, ce qui a ouvert les portes à une adoption de la norme par les applications d’entreprise et grand public.

Les possibles applications futures de ces normes

De nombreux travaux de normalisation sont en cours dans le domaine des paiements, car c’est à ce niveau que les établissements financiers exigent la mise en place d’un flux intégré dans le navigateur web, sans redirections susceptibles d’interrompre le processus de paiement.
Nous pourrions assister à une mise en œuvre complète de cette solution d’ici la fin 2021. Les normes 3D Secure évoluent également pour faciliter l’intégration de ce flux dans tous les navigateurs et plateformes web courants.

En matière de standard, il faut travailler en fonction de ce que nous savons, ou de ce que nous pensons savoir, et de ce qui nous attend l’année suivante, mais il arrive que les prévisions soient bousculées. Les organisations du secteur public sont parfois en retard en matière d’adoption et s’appuient, pour certaines, toujours sur les normes PIV et CAC, les lecteurs physiques et les smart cards.

Toutefois, la pandémie et la transition vers le travail à distance ont créé un sentiment d’urgence dans de nombreuses organisations. Elles ont aujourd’hui besoin de meilleurs outils en complément, et non en remplacement, des outils actuels (PIV/CAC), notamment ceux dont l’architecture et les fonctionnalités sont plus modernes.

Les normes d’authentification n’ont pas fini d’évoluer. Les récentes cyberattaques, notamment celle de Solarwinds, et la généralisation du travail à distance vont probablement entraîner une accélération des normes, ouvrant ainsi la voie à la vérification de l’identité à distance, à l’accélération des processus d’intégration et à la rationalisation des flux de paiement.
Cette évolution réjouira très certainement de nombreux RSSI en quête de solutions d’authentification plus sûres à l’ère du travail à distance.

Auteur
En savoir plus 
Sales Director France
Yubico
Laurent Nezot est Sales Director France chez Yubico
En savoir plus 

Livres blancs A la Une