FIDO2 : Google, Microsoft, Mozilla soutiennent l’authentification forte

avis-experts-cisco-cybersecurite

Google, Microsoft, Mozilla et consorts soutiennent l’intégration des spécifications FIDO2 dans les navigateurs web et les systèmes d’exploitation. Une authentification forte, résistante au phishing, associée à de multiples terminaux et services en ligne.

L’Alliance FIDO (Fast IDentity Online), consortium industriel dédié à l’authentification forte, et le World Wide Web Consortium (W3C), organisation chargée des standards du Web, annoncent ce mardi 10 avril le lancement du projet FIDO2.

Google, Microsoft, Mozilla et bien d’autres entreprises soutiennent l’initiative.

Selon ses promoteurs, FIDO2 facilite l’utilisation d’informations d’identification chiffrées et uniques pour chaque site, à partir d’une clé propre à chaque utilisateur/appareil. Et y associe des mécanismes de vérification pour résister au phishing et renforcer la sécurité de l’accès aux sites et services en ligne. Les internautes pourront toucher un capteur d’empreintes digitales ou insérer une clé de sécurité, plutôt que de saisir un mot de passe.

Le projet FIDO2 regroupe plusieurs initiatives. Il s’appuie sur la spécification d’authentification Web (WebAuthn) du W3C et sur le protocole CTAP (Client-to-Authenticator Protocol) de l’Alliance FIDO. Par ailleurs, FIDO2 complète d’autres spécifications existantes de l’Alliance : l’authentification sans mot de passe UAF (Universal Authentication Framework) et l’authentification à deux facteurs U2F (Universal Second Factor). Le consortium précise que les navigateurs web et les services en ligne FIDO2 sont « rétrocompatibles » avec toutes les clés de sécurité FIDO certifiées précédemment.

Google, Microsoft et Mozilla se sont déjà engagés à intégrer la norme WebAuthn dans leurs navigateurs respectifs (Chrome, Edge, Firefox). Et à la déployer progressivement dans leurs OS (Android et Windows 10 notamment, avec un support intégré).

3,5 milliards de comptes utilisateurs

« La diffusion des spécifications FIDO2 dans les navigateurs et les systèmes d’exploitation va étendre la portée de l’authentification FIDO […] Elle est en effet déjà disponible sur des centaines de millions de terminaux et proposée à plus de 3,5 milliards de comptes utilisateurs à travers le monde. Et ce par le biais de services fournis par des sociétés telles que Google, Facebook, NTT DoCoMo ou encore Bank of America », explique l’organisation dans un communiqué.

« Après des années marquées par des violations de données et des vols croissants de mots de passe et d’identifiants, il est temps pour les fournisseurs de services en ligne de mettre fin à leur dépendance vis-à-vis de mots de passe vulnérables et de codes d’accès uniques. Et d’adopter la technique d’authentification anti-phishing de l’Alliance FIDO sur tous les sites web et avec toutes les applications », déclare Brett McDowell, directeur exécutif de la FIDO Alliance.

Celle-ci proposera prochainement des tests d’interopérabilité et des certifications pour les serveurs, clients et authentificateurs qui adhèrent aux spécifications FIDO2. De surcroît, l’organisation introduira une certification Universal Server pour les serveurs interopérables avec tous les types d’authentifiants de l’Alliance (UAF, U2F, WebAuthn et CTAP).

Lire également :

Authentification forte : les décideurs informatiques sous pression

Le W3C veut sécuriser le web en authentifiant les utilisateurs

(crédit photo © shutterstock.com)