L’Alliance FIDO (Fast IDentity Online), consortium industriel dédié à l’authentification forte, et le World Wide Web Consortium (W3C), organisation chargée des standards du Web, annoncent ce mardi 10 avril le lancement du projet FIDO2.
Google, Microsoft, Mozilla et bien d’autres entreprises soutiennent l’initiative.
Selon ses promoteurs, FIDO2 facilite l’utilisation d’informations d’identification chiffrées et uniques pour chaque site, à partir d’une clé propre à chaque utilisateur/appareil. Et y associe des mécanismes de vérification pour résister au phishing et renforcer la sécurité de l’accès aux sites et services en ligne. Les internautes pourront toucher un capteur d’empreintes digitales ou insérer une clé de sécurité, plutôt que de saisir un mot de passe.
Le projet FIDO2 regroupe plusieurs initiatives. Il s’appuie sur la spécification d’authentification Web (WebAuthn) du W3C et sur le protocole CTAP (Client-to-Authenticator Protocol) de l’Alliance FIDO. Par ailleurs, FIDO2 complète d’autres spécifications existantes de l’Alliance : l’authentification sans mot de passe UAF (Universal Authentication Framework) et l’authentification à deux facteurs U2F (Universal Second Factor). Le consortium précise que les navigateurs web et les services en ligne FIDO2 sont « rétrocompatibles » avec toutes les clés de sécurité FIDO certifiées précédemment.
Google, Microsoft et Mozilla se sont déjà engagés à intégrer la norme WebAuthn dans leurs navigateurs respectifs (Chrome, Edge, Firefox). Et à la déployer progressivement dans leurs OS (Android et Windows 10 notamment, avec un support intégré).
« La diffusion des spécifications FIDO2 dans les navigateurs et les systèmes d’exploitation va étendre la portée de l’authentification FIDO […] Elle est en effet déjà disponible sur des centaines de millions de terminaux et proposée à plus de 3,5 milliards de comptes utilisateurs à travers le monde. Et ce par le biais de services fournis par des sociétés telles que Google, Facebook, NTT DoCoMo ou encore Bank of America », explique l’organisation dans un communiqué.
« Après des années marquées par des violations de données et des vols croissants de mots de passe et d’identifiants, il est temps pour les fournisseurs de services en ligne de mettre fin à leur dépendance vis-à-vis de mots de passe vulnérables et de codes d’accès uniques. Et d’adopter la technique d’authentification anti-phishing de l’Alliance FIDO sur tous les sites web et avec toutes les applications », déclare Brett McDowell, directeur exécutif de la FIDO Alliance.
Celle-ci proposera prochainement des tests d’interopérabilité et des certifications pour les serveurs, clients et authentificateurs qui adhèrent aux spécifications FIDO2. De surcroît, l’organisation introduira une certification Universal Server pour les serveurs interopérables avec tous les types d’authentifiants de l’Alliance (UAF, U2F, WebAuthn et CTAP).
Lire également :
Authentification forte : les décideurs informatiques sous pression
Le W3C veut sécuriser le web en authentifiant les utilisateurs
(crédit photo © shutterstock.com)
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…