Pour gérer vos consentements :

WebAuthn : l’authentification biométrique validée par le W3C

Le mot de passe traditionnel vit peut-être ses dernières heures puisque le W3C a enfin validé le standard WebAuthn qui propose de remplacer le mot de passe par authentification de type biométrique, un smartphone, une tablette ou même une clé USB sécurisée.

La FIDO Alliance, à l’origine du projet, s’est félicitée de cette adoption car elle estime que la protection par mot de passe est désormais obsolète.  « Il est de notoriété publique que les mots de passe ne sont plus efficaces » peut-on lire dans le communiqué publié par les deux organismes.  « Non seulement les mots de passe volés, faibles ou par défaut sont à l’origine de 81% des atteintes à la sécurité des données, mais ils représentent également une perte de temps et de ressources. »

FIDO Alliance soutient WebAuthn

Au total, les employés passeraient près de 11 heures par an à saisir ou réinitialiser leurs mots de passe, coûtant en moyenne plus de cinq millions de dollars par an aux entreprises.

Reste désormais à ce que les systèmes d’exploitation et les navigateurs prennent en charge ce nouveau standard, et la bonne nouvelle, c’est que Chrome, Firefox, Edge et Safari avaient anticipé cette annonce et ils sont prêts à abandonner le mot de passe au profit de la reconnaissance faciale ou tactile.

L’Alliance FIDO (Fast IDentity Online), consortium industriel dédié à l’authentification forte, et le World Wide Web Consortium (W3C), organisation chargée des standards du Web, ont annoncé en  avril dernier le lancement du projet FIDO2 qui regroupe plusieurs initiatives.

Il s’appuie sur la spécification d’authentification Web (WebAuthn) du W3C et sur le protocole CTAP (Client-to-Authenticator Protocol) de l’Alliance FIDO. Par ailleurs, FIDO2 complète d’autres spécifications existantes de l’Alliance : l’authentification sans mot de passe UAF (Universal Authentication Framework) et l’authentification à deux facteurs U2F (Universal Second Factor). Le consortium précise que les navigateurs web et les services en ligne FIDO2 sont « rétrocompatibles » avec toutes les clés de sécurité FIDO certifiées précédemment.

Google, Microsoft et Mozilla se sont déjà engagés à intégrer la norme WebAuthn dans leurs navigateurs respectifs (Chrome, Edge, Firefox). Et à la déployer progressivement dans leurs OS (Android et Windows 10 notamment, avec un support intégré).

Bien évidemment, il faut aussi que les serveurs, à l’autre bout de la chaîne, soient prêts pour cette bascule.

Recent Posts

ESN : Numeum s’étoffe et précise ses priorités

Numeum, qui réprésentent les ESN et éditeurs de logiciels en France, a précisé sa feuille…

15 heures ago

HPE Discover 2022 : Red Hat rejoint l’écosystème GreenLake

OpenShift, RHEL, Ansible... Red Hat va proposer une version sur site avec paiement à l'usage…

16 heures ago

Performance applicative : pas d’analyse sans observabilité ?

Cette année, le Magic Quadrant de l'APM (gestion de la performance applicative) englobe officiellement l'observabilité.…

18 heures ago

Cloud : comment protéger l’Europe de lois à portée extraterritoriale

Arbitrons en faveur d'un niveau élevé de sécurité dans le cadre du schéma européen de…

20 heures ago

JavaScript change de licence : un alignement sur le W3C

Fraîchement adopté, la spécification ECMAScript 2022 adopte une licence plus permissive qui l'aligne sur celle…

23 heures ago

Ecrans PC : l’accalmie avant la tempête ?

La demande des entreprises stabilise les ventes mondiales d'écrans pour PC. Mais la fin d’un…

2 jours ago