L'organisme international World Wide Web Consortium (W3C) et l'Alliance FIDO ont annoncé que la Web Authentification devenait le standard officiel pour les connexions sécurisées. Développée de longue date, cette technologie signe la fin des mots de passe.
La spécification Web Authentification (WebAuthn) constitue une petite révolution en matière de sécurité et de confort des internautes. En effet, elle permet de se connecter à ses appareils électroniques, ses comptes bancaires ou n’importe quel autre service en ligne sans avoir à saisir le moindre mot de passe. Officiellement reconnue comme un standard web le 4 mars 2019, la spécification WebAuthn est un système d’authentification basé sur la reconnaissance biométrique (empreintes digitales, reconnaissance faciale ou de l’iris, etc.).
« Le moment est venu pour les services web et les entreprises d'adopter WebAuthn pour pallier la vulnérabilité des mots de passe et renforcer la sécurité des données en ligne. Il est devenu évident que les mots de passe ne sont plus efficaces. Les mots de passe par défaut, faibles ou volés, sont non seulement à l'origine de 81 % des violations de données, mais ils représentent d'importantes pertes de temps et de moyens. La recommandation du W3C établit des directives d'interopérabilité à l'échelle du web, définissant des attentes cohérentes pour les internautes et les sites qu'ils visitent », explique Jeff Jaffe, P-DG du W3C.
Renforcer la sécurité des données
WebAuthn est une API (interface de programmation) développée dans le cadre du projet FIDO2 de l’Alliance FIDO, qui regroupe plus de 250 sociétés, dont Amazon, American Express, Intel, Mastercard, Microsoft, Google ou encore Samsung. L’API baptisée FIDO2 est d’ores et déjà prise en charge par les navigateurs web (Chrome, Firefox, Edge, Internet Explorer et Opera), les systèmes Android et Windows 10 et les smartphones Samsung S10 et S10+. Avec cette technologie, l’utilisateur se connecte via un procédé d'authentification biométrique, grâce aux modules de reconnaissance d’empreintes digitales ou faciales d'un smartphone, d’un ordinateur, d’une montre connectée ou encore d’une clé USB. Lors de l’authentification, l’API génère d’une part une clé publique unique transmise au site web qui la stocke sur ses serveurs, et d’autre part une clé privée cryptée, conservée sur le terminal. En plus d’être pratique, cette technologie garantit un niveau de sécurité élevé qui empêche toute tentative d’hameçonnage et d’usurpation d’identité en rendant impossible le vol d’identifiants et de mots de passe. À noter que ce type d’authentification forte deviendra obligatoire dans l’Union européenne au mois de septembre 2019. La fin des mots de passe a sonné…
Crédit photo : Getty Images
