Le W3C adopte officiellement WebAuthn pour remplacer les mots de passe

Nicolas Furno |

C’était déjà le standard dans les faits, c’est désormais aussi le cas officiellement : WebAuthn a été adopté par le W3C. Ce nouveau standard du web permet de remplacer le traditionnel mot de passe par une authentification biométrique, un appareil mobile ou une clé USB sécurisée. À terme, tous les systèmes d’exploitation et tous les navigateurs devraient le prendre en charge.

Tous les navigateurs prennent d’ores et déjà en charge WebAuthn, dans des versions finales ou bêta. Apple l’a ajouté à la Technology Preview de Safari en décembre dernier (mais c’est toujours une fonction expérimentale que l’utilisateur doit activer), Google et Mozilla avaient pris de l’avance pour Chrome et Firefox, et Microsoft en a fait autant dans Edge. Maintenant que le W3C a officialisé cette fonction, son déploiement devrait s’accélérer, autant du côté des navigateurs que des sites web qui doivent aussi la prendre en charge sur leurs formulaires de connexion1.

Le W3C ne s’en cache pas : l’ambition de ce nouveau standard est d’offrir des méthodes de connexion plus sûres que les mots de passe. Ces derniers peuvent trop facilement être devinés ou perdus, et c’est pourquoi on assiste à un développement des connexions à deux facteurs pour améliorer leur sécurité. Avec WebAuthn, l’objectif est d’apporter une réponse différente, en utilisant soit une reconnaissance biométrique (Touch ID ou Face ID dans l’écosystème d’Apple), soit un appareil physique que vous conservez en permanence avec vous.

Ces derniers prennent la forme en général d’une clé USB associée à un lecteur d’empreintes, pour améliorer encore leur sécurité. Le W3C a travaillé avec le FIDO, un consortium qui a défini un standard ouvert pour ces clés de sécurité et on peut en acheter dès aujourd’hui à partir de 25 à 30 € en fonction des modèles.

Clé USB Yubico, compatible avec le standard FIDO.

  1. Parmi les premiers sites à jour, citons Dropbox, Facebook, Twitter, GitHub, Salesforce ou encore Stripe. ↩︎

avatar bidibout (non vérifié) | 

Je ne suis pas sûr d'avoir saisi, est-ce que ça signifie que les sites internet stockeront les empreintes par exemple ou ça reste stocké sur le téléphone uniquement ?

avatar alexis83 (non vérifié) | 

@bidibout

C’est stocké sur la clef usb non ?

avatar bidibout (non vérifié) | 

@alexis83

Mais dans le cas où c'est le téléphone qui sert à l'authentification ?

avatar alexis83 (non vérifié) | 

@bidibout

Bah c’est stocké sur le téléphone comme actuellement sur iOS non ? Le principe si j’ai bien compris c’est que l’authentification est matériel et peut être hors ligne (par ex déverrouiller ton ordi) donc rien de stocké sur des serveurs.
Sous réserve qu’un lecteur me rectifie dans mes possibles bêtises

avatar bidibout (non vérifié) | 

@alexis83

Mais là ça parle aussi d'identification sur des sites internet c'est ce qui me met le doute.

Est-il possible d'avoir une identification en laissant tout en local et rien côté serveur ?

avatar alexis83 (non vérifié) | 

@bidibout

Il me semble que c’est le même principe que quand tu ouvres une app que tu as sécurisé avec touchID mais pour un site web.
Au passage je viens de voir du moins sur le lien de macg qu’il n’y a avec pas encore de clef au format usb-c

avatar bidibout (non vérifié) | 

@alexis83

Ah oui je comprend mieux, merci.

avatar 6ix | 

@alexis83

Ce n’est pas pareil sous le capot. Actuellement, Touch ID ne sert généralement qu’a accéder au mot de passe enregistré sur l’appareil qui est ensuite envoyé au serveur pour être validé. Le secret (mot de passe) est stocké sur le serveur.

L’optique FIDO est de se baser sur la cryptographie asymétrique avec une clé privée (le secret) qui reste sur l’appareil client et une clé publique envoyée au serveur. Touch ID dans ce cas sert à accéder à la clé privée, qui est utilisée pour signer le contenu envoyé au serveur, qui va ensuite vérifier la signature grâce à la clé publique. C’est plus complexe que ça, mais c’est le principe de base.

Autrement dit, il n’y rien à voler côté serveur. Un autre avantage est la possibilité d’avoir toutes sortes de vérifications utilisateur afin de protéger la clé privée; Touch ID, Face ID, reconnaissance vocale, dongle externe...

avatar alexis83 (non vérifié) | 

@6ix

Merci ?

avatar bidibout (non vérifié) | 

@6ix

Merci pour cette explication compréhensible ??

avatar jerry75 | 

@alexis83

Mais je ne comprend toujours pas ... on va pouvoir s’identifier sans mots de passe grâce à Face ID par exemple. Ok je trouve ça génial, j’en ai âtre des mots de passe.
Mais que se passe-t-il si on veut se connecter à un site depuis un autre ordi ou autre téléphone si c’est stocké en local ???

avatar 6ix | 

Effectivement, c'est une différence puisqu'il ne s'agit plus simplement de s'authentifier avec quelque chose que l'on sait.

Il est possible de s'enregistrer sur une service avec plusieurs appareils, qui généreront et posséderont chacun leurs propre clés. Cela te permet par exemple de te connecter via ton smartphone or via une clé externe.

avatar valcapri | 

@alexis83

Chez Yubico, tu as les Yubikey 5C et 5C Nano en USB-C et il prévoit une version Lightning.

avatar alexis83 (non vérifié) | 

@valcapri

?

avatar 6ix | 

@bidibout

Le serveur ne stocke rien de confidentiel, la partie secrète reste côté client. C’est la grande différence avec une authentification traditionnelle.

L’idée est même de stocker les éléments sensibles dans une puce dédiée si possible (enclave sécurisée ou TEE) qui est isolée du processeur et du système de base, de telle sorte qu’il est extrêmement difficile d’y accéder.

avatar pagaupa | 

A vas y que je te complique encore l’affaire! Avec des ordi qui ont de moins en moins de ports...

avatar Crunch Crunch | 

A quand la clé USB pirate, déguisée en lecteur d'empreinte ?

avatar showmehowtolive | 

Et si on perd la clé ? Tous les mdp sont dessus ?

avatar adrien1987 | 

@showmehowtolive

Je suppose que c'est le même principe que la clé Ledger. Tu as 24 mots à la 1ere utilisation qui te permettent de restaurer ta clé sur une autre si tu la perd.

avatar ancampolo | 

J’ai ce type de cles depuis 6 mois je trouve ça nul...je pensais que ce serait top en usb c et discret mais ça marche mal et c’est un support supplémentaire pour rien.

avatar alexis83 (non vérifié) | 

@ancampolo

En quoi ça marche mal ? Tu peux partager ton expérience ? Après quand ce sera bien adopté de façon officiel ça marchera certainement mieux ?‍♂️

avatar sangoke | 

Et est-ce qu’au lieu de brancher une clé à un à notre mac par exemple, l’objectif serait de passer directement par TouchID ou FaceID sur notre smartphone (connecté en Bluetooth au mac comme Handoff par exemple) ou directement depuis le mac pour ne pas avoir à brancher quoi que ce soit dessus ?

Parce que de toute façon pour utiliser ça sur un iPhone on ne peut pas brancher de clé USB ou alors une clé lightning mais ça veut dire qu’il faut une clé usb pour l’ordi et une clé lightning pour l’iPhone pas très pratique..

avatar Domsware | 

Et si la clé Yubico – par exemple
– est volée p?

avatar DahuLArthropode | 

@Domsware

Il ne fait pas te faire voler le doigt avec.

avatar valcapri | 

@Domsware

La clé est protégée par un code PIN du moins chez Yubico.

avatar jojo999922 | 

J'utilise une clef fido à 7€50 pour mes sites WordPress et en option de secours sur mon Dropbox et compte Google depuis 2 ans, et depuis septembre j'ai pris une clef feitian multipass avec usb Bluetooth et nfc pour l'utiliser avec Android et l'iPhone et ça marche bien. Même si il y a peut de site en place, et l'absence de compatibilité safari depuis la fin de l'Extension qui le prenait en charge. Tout comme le fait regrettable que sur pc ce ne soit pas webauth mais fido qui soit employé, donc de 1, obligé de brancher la clef en usb, pas de Bluetooth possible, de 2, impossible d'utiliser la clef sur un téléphone sauf avec Google car seule Google (à ma connaissance, en septembre /octobre) prenait en charge le système par Webauth (rétro compatible fido) car Google Chrome et Firefox utilisent Fido avec l'ancienne implémentation sur pc / mac. Enfin le manque d'investissement des gafa avec une seule extension fido (pas Web auth) pour WordPress par exemple...

avatar alexis83 (non vérifié) | 

@jojo999922

Si je comprend bien pour mobile si tu n’as pas de batterie pour le faire fonctionner en Bluetooth tu ne peux plus t’identifier ?

avatar jojo999922 | 

Non Bluetooth 4, 6 mois d'autonomie avec 100 authentification par jours normalement.
Le Bluetooth n'est utilisable que sur les nouvelles implémentation du système. Chaque implémentation ancienne est bloquée sur usb...

avatar alexis83 (non vérifié) | 

@jojo999922

Ok aucun problème du côté de l’autonomie alors !
Merci pour ces infos complémentaires !

avatar PierreBondurant | 

“Ces derniers prennent la forme en général d’une clé USB associée à un lecteur d’empreintes”

Je trouve ça pas top d’appuyer avec le doigt plusieurs fois par jour sur une clé usb branchée.
Je donne pas cher de la vie du connecteur.
Touch ID semble une solution bien plus “résistante” (physiquement en tout cas, du point de vue sécurité j’en sais rien)

avatar ecosmeri | 

Qui disaient que les clefs usb etait morte depuis longtemps ??? Blague a part se trimballer avec une clef non merci. Keychain d'apple me convient parfaitement. Et quand je suis sur un ordi qui n'a pas de reconnaise digital ou faciale je n'ai pas forcement envi d'avoir mon phone a coté pour me connecter aux sites web.

avatar 7X | 

Question de débutant : quand on à l'habitude de donner des identifiants et MP à un groupe de personnes pour accéder à une galerie Web (htaccesss), il faudra à la place distribuer des clés USB à 8$ pièce ? Pour 50 personnes toutes les semaines, ça commence à chiffrer.

avatar oomu | 

quelques commentaires sont assez étonnants, en mode "touche pas à ma purée"

bon..

- ce genre de clé vont commencer à être plus communes et mieux intégrés dans les logiciels, enlevant une grande part de complexité
- touch id/face id et le système d'enclave d'apple peuvent totalement intégrer le principe de webauthn, le téléphone devient la "clé fido"
- usb n'est qu'une des méthodes
- en cas de vol : on part du principe que vous n'avez pas qu'un seul appareil de confiance et que vous supprimerez les clés des sites web via cet autre appareil de confiance.
- les mots de passe c'est naze
- les jeuuuuunes de l'an 2038 seront né avec ce genre de bidule et n'imagineront même pas que les gorilles dans la brume n'en ont pas. pour eux ça sera très familier.

-

"Qui disaient que les clefs usb etait morte depuis longtemps ???"
Personne de sensé;

"Blague a part se trimballer avec une clef non merci."
vous mettrez ça à votre porte clé.

"Keychain d'apple me convient parfaitement."
il n'y a aucune raison que keychain soit supplanté.

"Et quand je suis sur un ordi qui n'a pas de reconnaise digital ou faciale je n'ai pas forcement envi d'avoir mon phone a coté pour me connecter aux sites web."

pourquoi ? à ce moment là, vous pourriez aussi utiliser une de ces petites clés usb.

Le principe étant de dissocier votre identité de simple mot de passé, mais d'utiliser un système de clé privé/clé publique depuis des appareils dit de confiance : une petite clé usb, ou votre mobile (avec système d'enclave sécurisé) ou autre.

Avec un standard suivi par toute l'industrie, on peut commencer à universaliser et simplifier tout ça

avatar zoubi2 | 

@oomu, le bon sens en marche...

avatar tleveque | 

J'ai réussi à essayé la technologie avec mon MacBook Pro TouchId et Chrome avec Dropbox.
Chez Dropbox, ça ne fonctionne qu"avec l'identification en 2 étapes. Donc on doit toujours entrer notre mot de passe et ensuite on s'identifie avec TouchId. Mais c'est plutôt mal foutu pour la config. Et j'ai du chercher pas mal sur le web pour comprendre comment l'activer. Et c'est aussi vraiment penser pour une clé usb car ça montre toujours un logo de clé usb, mais à un moment, on peut choisir "autre"..."capteur biométrique intégré" (ou quelque chose du genre).
J'ai essayé avec Firefox qui est supposé aussi supporter la technologie, mais on dirait bien que seule la clé usb est supportée de ce côté.
J'ai pas essayé avec d'autre site.
Quelqu'un sait si il y a un site qui le supporte directement pour l'identification sans avoir a entrer de mot de passe?

CONNEXION UTILISATEUR