Le mot de passe traditionnel vit peut-être ses dernières heures puisque le W3C a enfin validé le standard WebAuthn qui propose de remplacer le mot de passe par authentification de type biométrique, un smartphone, une tablette ou même une clé USB sécurisée.
La FIDO Alliance, à l’origine du projet, s’est félicitée de cette adoption car elle estime que la protection par mot de passe est désormais obsolète. « Il est de notoriété publique que les mots de passe ne sont plus efficaces » peut-on lire dans le communiqué publié par les deux organismes. « Non seulement les mots de passe volés, faibles ou par défaut sont à l’origine de 81% des atteintes à la sécurité des données, mais ils représentent également une perte de temps et de ressources. »
Au total, les employés passeraient près de 11 heures par an à saisir ou réinitialiser leurs mots de passe, coûtant en moyenne plus de cinq millions de dollars par an aux entreprises.
Reste désormais à ce que les systèmes d’exploitation et les navigateurs prennent en charge ce nouveau standard, et la bonne nouvelle, c’est que Chrome, Firefox, Edge et Safari avaient anticipé cette annonce et ils sont prêts à abandonner le mot de passe au profit de la reconnaissance faciale ou tactile.
L’Alliance FIDO (Fast IDentity Online), consortium industriel dédié à l’authentification forte, et le World Wide Web Consortium (W3C), organisation chargée des standards du Web, ont annoncé en avril dernier le lancement du projet FIDO2 qui regroupe plusieurs initiatives.
Il s’appuie sur la spécification d’authentification Web (WebAuthn) du W3C et sur le protocole CTAP (Client-to-Authenticator Protocol) de l’Alliance FIDO. Par ailleurs, FIDO2 complète d’autres spécifications existantes de l’Alliance : l’authentification sans mot de passe UAF (Universal Authentication Framework) et l’authentification à deux facteurs U2F (Universal Second Factor). Le consortium précise que les navigateurs web et les services en ligne FIDO2 sont « rétrocompatibles » avec toutes les clés de sécurité FIDO certifiées précédemment.
Google, Microsoft et Mozilla se sont déjà engagés à intégrer la norme WebAuthn dans leurs navigateurs respectifs (Chrome, Edge, Firefox). Et à la déployer progressivement dans leurs OS (Android et Windows 10 notamment, avec un support intégré).
Bien évidemment, il faut aussi que les serveurs, à l’autre bout de la chaîne, soient prêts pour cette bascule.
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.