Pour gérer vos consentements :

Le W3C veut sécuriser le web en authentifiant les utilisateurs

Toujours renforcer la sécurisation de la navigation web, notamment en tentant d’éradiquer les risques de phishing. C’est l’une des missions que se donne le World Wide Web Consortium (W3C). L’organisation chargée de définir les standards du Web a publié, fin mai, le premier document de travail sur la spécification d’authentification du web (Web Authentification Specification). « Cela constitue une étape importante pour rendre disponible l’authentification de confidentialité préservant du hameçonnage sur le Web et pour réduire la dépendance aux mots de passe », écrit le W3C. Et la publication du premier document de travail public constitue le « le signal à la communauté pour commencer à réviser [les propositions] ».

Une API WebAuthn

En l’état, le consortium propose l’usage d’une API qui, à partir d’un script du navigateur, permettra de rendre les pages web compatibles avec WebAuthn, le futur standard d’authentification des identifiants utilisateur. Autrement dit, il s’agit d’équiper les navigateurs d’outil de chiffrement des identifiants à partir d’une clé

propre à chaque utilisateur/appareil et de mécanismes de vérification pour sécuriser les accès des utilisateurs aux applications et pages.

Pour cela, le W3C propose de stocker une ou plusieurs informations d’identification sur un ‘authentificateur’ (authenticator), et de relier chaque identifiant à une seule zone de confiance (Relying Party, l’entité qui s’appuie sur l’authentification fournie par WebAuthn). « Les authentificateurs sont chargés de veiller à ce qu’aucune opération ne soit effectuée sans le consentement de l’utilisateur, explique l’organisme. L’agent gère l’accès aux informations d’identification afin de préserver la confidentialité des utilisateurs. Les authentificateurs utilisent une attestation pour fournir une preuve cryptographique de leurs propriétés à la zone de confiance. »

Les navigateurs équipés de préversions WebAuth

Les éditeurs ont déjà commencé à implémenter des mécanismes d’authentifications dans leurs navigateurs. Microsoft a ainsi intégré une version antérieure à la spécification proposée aujourd’hui. Il faut savoir que Web Authentication propose de fusionner en une seule les trois spécifications précédemment proposées en novembre 2015 par la FIDO Alliance. Dont celle de Redmond, donc, mais aussi de Google Chrome (membre de la FIDO Alliance) et Mozilla Firefox dont les spécifications proposées serviront ainsi de base de travail au W3C pour implémenter WebAuth.

Cette nouvelle spécification web entend donc répondre à la problématique d’authentification des utilisateurs qui se heurtent aujourd’hui aux nombreux vols d’identifiants et mots de passe insuffisamment sécurisés, notamment sur les plates-formes de réseaux sociaux comme ce fut le cas pour Linkedin en 2012 alors que ces données sont aujourd’hui vendues sur darkweb. L’idée d’authentifier l’utilisateur à partir de plusieurs facteurs et non plus seulement sur le seul couple identifiant/mot de passe pourrait s’inscrire comme une réponse efficace aux vols et autres usurpations d’identités. Le groupe de travail Web Authentication se fixe a septembre 2016 pour proposer une version stable (Candidate Recommendation) de la spécification d’authentification avant de la proposer en tant que norme du W3C.


Lire également
Microsoft développe un système ID basé sur la blockchain
La double authentification affaiblie par la synchronisation
Windows 10 : la sécurité et l’authentification renforcées

Crédit Photo : Olivier le Moal-Shutterstock

Recent Posts

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

2 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

4 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

21 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

22 heures ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

1 jour ago

Docaposte se pose en centrale cyber pour les PME

Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…

2 jours ago