Par Arnaud Gallut, Directeur des Ventes Europe du Sud Ping Identity
Les mots de passe, on le sait, bien que fort pratiques et omniprésents aujourd’hui comme moyen d’accès au monde numérique, possèdent de graves défauts en matière de sécurité. L’industrie high tech s’attèle depuis quelques années à les remplacer, sans grand succès jusqu’à un passé récent. Mais les choses sont en train de changer, car un nouveau standard d’authentification sans mot de passe est en train de s’imposer, qui a pour nom FIDO2, développé par l’Alliance FIDO (Fast IDentity Online).
Fondée en 2012, l’Alliance FIDO est une alliance technologique ouverte dont la mission centrale est de définir des standards d’authentification numérique qui réduisent la dépendance aux mots de passe. Elle accueille aujourd’hui parmi ses membres tous les principaux acteurs de l’industrie qui mettent en œuvre ou ont besoin de solutions d’authentification numérique, dont Google, Amazon, Microsoft, Facebook et Ping Identity, sans oublier tous les principaux fournisseurs de terminaux mobiles.
Après la définition d’un premier standard FIDO 1.0 en décembre 2014, un second standard plus mature, FIDO2, a été officiellement ratifié en mars 2019, qui est d’ores et déjà supporté par les plates-formes Windows 10 et Android, et les navigateurs web Chrome, FireFox, Edge et Safari.
Le standard FIDO2 rassemble deux spécifications
Le standard WebAuthn (Web Authentication) défini par le Consortium W3C est supporté par tous les principaux navigateurs web. WebAuthn permet aux utilisateurs de se connecter à leurs comptes Internet à partir de leur navigateur via une authentification biométrique, leur terminal mobile et/ou des clés de sécurité FIDO, avec un niveau de sécurité largement supérieur aux mots de passe.
Le protocole CTAP (Client to Authenticator Protocol) permet à des équipements externes tels que des terminaux mobiles ou des clés de sécurité FIDO de travailler avec les navigateurs supportant WebAuthn, mais aussi de faire office d’authentificateur pour des applications sur ordinateur ou des services web.
Corriger tous les défauts des mots de passe
FIDO2 représente en fait la réponse de l’industrie high tech au problème global que posent les mots de passe en tant que solution d’authentification numérique, et a été conçu pour corriger tous leurs défauts, tout en conservant leur atout maître, la simplicité d’utilisation.
- Sécurité
Les identifiants d’accès chiffrés de FIDO2 sont uniques pour chaque site web, ne quittent jamais le terminal de l’utilisateur et ne sont jamais stockés sur un serveur. Ce modèle de sécurité élimine tous les risques associés au phishing, au vol de mots de passe et aux attaques répétitives.
- Protection de la vie privée
Les clés de chiffrement FIDO étant uniques pour chaque site web, elles ne peuvent être utilisées pour suivre les utilisateurs sur différents sites. De plus, les données biométriques, lorsqu’elles sont utilisées, ne quittent jamais le terminal de l’utilisateur.
- Capacité d’extension
Les sites web peuvent activer FIDO2 via l’appel d’une simple API JavaScript qui est supportée par les principaux navigateurs et les principales plates-formes intégrées dans des milliards de terminaux que les consommateurs utilisent chaque jour.
- Facilité d’utilisation
Les utilisateurs déverrouillent les identifiants d’accès chiffrés via des fonctions simples intégrées sur leur terminal, telles que des lecteurs d’empreintes digitales ou des systèmes de reconnaissance faciale, ou via de simples clés de sécurité FIDO. Les consommateurs peuvent choisir la solution qui répond le mieux à leurs besoins.
Comment fonctionne FIDO2 ?
Le standard FIDO2 est compatible avec toutes les solutions d’authentification MFA (authentification à deux facteurs ou plus). Ces protocoles utilisent des techniques standard de chiffrement par clé publique.
Au moment de l’enregistrement sur un service en ligne, l’utilisateur reçoit sur son terminal un message d’authentification FIDO qu’il valide en utilisant un lecteur d’empreinte digitale, un code PIN ou une autre méthode. Son terminal crée alors une paire de clés de chiffrement privé/publique unique. Il conserve la clé privée et transmet au service en ligne la clé publique, qui l’enregistre associée à son compte utilisateur.
Ensuite, à chaque demande d’accès, l’utilisateur reçoit sur son terminal enregistré une demande d’authentification FIDO qu’il valide avec la même méthode utilisée lors de l’enregistrement. Le terminal sélectionne alors la clé publique correspondante et la transmet au service en ligne qui la compare à celle précédemment enregistrée et autorise l’accès.
La méthode d’authentification FIDO2 on le voit, supprime tout usage de mots de passe pour accéder à tout service en ligne, sur le web ou dans le cloud. Elle garantit un haut niveau de sécurité et de protection de la vie privée, tout en conservant une réelle simplicité d’utilisation pour le consommateur ou le professionnel en entreprise. Déjà supportée par les grands noms de l’industrie high tech, mais aussi par des leaders des solutions de gestion des identités et des accès tels que Ping Identity, il ne fait guère de doute que son usage va s’étendre rapidement dans un avenir proche, en remplacement de nos fameux mots de passe.