WebAuthn : l’authentification biométrique validée par le W3C

WebAuthn doit permettre de sécuriser une connexion au site de sa banque ou ouvrir une session sur son ordinateur sans le moindre mot de passe.

Le mot de passe traditionnel vit peut-être ses dernières heures puisque le W3C a enfin validé le standard WebAuthn qui propose de remplacer le mot de passe par authentification de type biométrique, un smartphone, une tablette ou même une clé USB sécurisée. 

La FIDO Alliance, à l’origine du projet, s’est félicitée de cette adoption car elle estime que la protection par mot de passe est désormais obsolète.  « Il est de notoriété publique que les mots de passe ne sont plus efficaces » peut-on lire dans le communiqué publié par les deux organismes.  « Non seulement les mots de passe volés, faibles ou par défaut sont à l’origine de 81% des atteintes à la sécurité des données, mais ils représentent également une perte de temps et de ressources. »

FIDO Alliance soutient WebAuthn

Au total, les employés passeraient près de 11 heures par an à saisir ou réinitialiser leurs mots de passe, coûtant en moyenne plus de cinq millions de dollars par an aux entreprises.

Reste désormais à ce que les systèmes d’exploitation et les navigateurs prennent en charge ce nouveau standard, et la bonne nouvelle, c’est que Chrome, Firefox, Edge et Safari avaient anticipé cette annonce et ils sont prêts à abandonner le mot de passe au profit de la reconnaissance faciale ou tactile.

L’Alliance FIDO (Fast IDentity Online), consortium industriel dédié à l’authentification forte, et le World Wide Web Consortium (W3C), organisation chargée des standards du Web, ont annoncé en  avril dernier le lancement du projet FIDO2 qui regroupe plusieurs initiatives.

Il s’appuie sur la spécification d’authentification Web (WebAuthn) du W3C et sur le protocole CTAP (Client-to-Authenticator Protocol) de l’Alliance FIDO. Par ailleurs, FIDO2 complète d’autres spécifications existantes de l’Alliance : l’authentification sans mot de passe UAF (Universal Authentication Framework) et l’authentification à deux facteurs U2F (Universal Second Factor). Le consortium précise que les navigateurs web et les services en ligne FIDO2 sont « rétrocompatibles » avec toutes les clés de sécurité FIDO certifiées précédemment.

Google, Microsoft et Mozilla se sont déjà engagés à intégrer la norme WebAuthn dans leurs navigateurs respectifs (Chrome, Edge, Firefox). Et à la déployer progressivement dans leurs OS (Android et Windows 10 notamment, avec un support intégré).

Bien évidemment, il faut aussi que les serveurs, à l’autre bout de la chaîne, soient prêts pour cette bascule.