Le W3C adopte officiellement WebAuthn pour remplacer les mots de passe

Nicolas Furno |

C’était déjà le standard dans les faits, c’est désormais aussi le cas officiellement : WebAuthn a été adopté par le W3C. Ce nouveau standard du web permet de remplacer le traditionnel mot de passe par une authentification biométrique, un appareil mobile ou une clé USB sécurisée. À terme, tous les systèmes d’exploitation et tous les navigateurs devraient le prendre en charge.

Tous les navigateurs prennent d’ores et déjà en charge WebAuthn, dans des versions finales ou bêta. Apple l’a ajouté à la Technology Preview de Safari en décembre dernier (mais c’est toujours une fonction expérimentale que l’utilisateur doit activer), Google et Mozilla avaient pris de l’avance pour Chrome et Firefox, et Microsoft en a fait autant dans Edge. Maintenant que le W3C a officialisé cette fonction, son déploiement devrait s’accélérer, autant du côté des navigateurs que des sites web qui doivent aussi la prendre en charge sur leurs formulaires de connexion1.

Le W3C ne s’en cache pas : l’ambition de ce nouveau standard est d’offrir des méthodes de connexion plus sûres que les mots de passe. Ces derniers peuvent trop facilement être devinés ou perdus, et c’est pourquoi on assiste à un développement des connexions à deux facteurs pour améliorer leur sécurité. Avec WebAuthn, l’objectif est d’apporter une réponse différente, en utilisant soit une reconnaissance biométrique (Touch ID ou Face ID dans l’écosystème d’Apple), soit un appareil physique que vous conservez en permanence avec vous.

Ces derniers prennent la forme en général d’une clé USB associée à un lecteur d’empreintes, pour améliorer encore leur sécurité. Le W3C a travaillé avec le FIDO, un consortium qui a défini un standard ouvert pour ces clés de sécurité et on peut en acheter dès aujourd’hui à partir de 25 à 30 € en fonction des modèles.

Clé USB Yubico, compatible avec le standard FIDO.

  1. Parmi les premiers sites à jour, citons Dropbox, Facebook, Twitter, GitHub, Salesforce ou encore Stripe. ↩︎

avatar bidibout | 

Je ne suis pas sûr d'avoir saisi, est-ce que ça signifie que les sites internet stockeront les empreintes par exemple ou ça reste stocké sur le téléphone uniquement ?

avatar alexis83 | 

@bidibout

C’est stocké sur la clef usb non ?

avatar bidibout | 

@alexis83

Mais dans le cas où c'est le téléphone qui sert à l'authentification ?

avatar alexis83 | 

@bidibout

Bah c’est stocké sur le téléphone comme actuellement sur iOS non ? Le principe si j’ai bien compris c’est que l’authentification est matériel et peut être hors ligne (par ex déverrouiller ton ordi) donc rien de stocké sur des serveurs.
Sous réserve qu’un lecteur me rectifie dans mes possibles bêtises

avatar bidibout | 

@alexis83

Mais là ça parle aussi d'identification sur des sites internet c'est ce qui me met le doute.

Est-il possible d'avoir une identification en laissant tout en local et rien côté serveur ?

avatar alexis83 | 

@bidibout

Il me semble que c’est le même principe que quand tu ouvres une app que tu as sécurisé avec touchID mais pour un site web.
Au passage je viens de voir du moins sur le lien de macg qu’il n’y a avec pas encore de clef au format usb-c

avatar bidibout | 

@alexis83

Ah oui je comprend mieux, merci.

avatar 6ix | 

@alexis83

Ce n’est pas pareil sous le capot. Actuellement, Touch ID ne sert généralement qu’a accéder au mot de passe enregistré sur l’appareil qui est ensuite envoyé au serveur pour être validé. Le secret (mot de passe) est stocké sur le serveur.

L’optique FIDO est de se baser sur la cryptographie asymétrique avec une clé privée (le secret) qui reste sur l’appareil client et une clé publique envoyée au serveur. Touch ID dans ce cas sert à accéder à la clé privée, qui est utilisée pour signer le contenu envoyé au serveur, qui va ensuite vérifier la signature grâce à la clé publique. C’est plus complexe que ça, mais c’est le principe de base.

Autrement dit, il n’y rien à voler côté serveur. Un autre avantage est la possibilité d’avoir toutes sortes de vérifications utilisateur afin de protéger la clé privée; Touch ID, Face ID, reconnaissance vocale, dongle externe...

avatar alexis83 | 

@6ix

Merci 👍

avatar bidibout | 

@6ix

Merci pour cette explication compréhensible 👍🏻

avatar jerry75 | 

@alexis83

Mais je ne comprend toujours pas ... on va pouvoir s’identifier sans mots de passe grâce à Face ID par exemple. Ok je trouve ça génial, j’en ai âtre des mots de passe.
Mais que se passe-t-il si on veut se connecter à un site depuis un autre ordi ou autre téléphone si c’est stocké en local ???

avatar 6ix | 

Effectivement, c'est une différence puisqu'il ne s'agit plus simplement de s'authentifier avec quelque chose que l'on sait.

Il est possible de s'enregistrer sur une service avec plusieurs appareils, qui généreront et posséderont chacun leurs propre clés. Cela te permet par exemple de te connecter via ton smartphone or via une clé externe.

avatar valcapri | 

@alexis83

Chez Yubico, tu as les Yubikey 5C et 5C Nano en USB-C et il prévoit une version Lightning.

avatar alexis83 | 

@valcapri

👍

avatar 6ix | 

@bidibout

Le serveur ne stocke rien de confidentiel, la partie secrète reste côté client. C’est la grande différence avec une authentification traditionnelle.

L’idée est même de stocker les éléments sensibles dans une puce dédiée si possible (enclave sécurisée ou TEE) qui est isolée du processeur et du système de base, de telle sorte qu’il est extrêmement difficile d’y accéder.

avatar pagaupa | 

A vas y que je te complique encore l’affaire! Avec des ordi qui ont de moins en moins de ports...

avatar Crunch Crunch | 

A quand la clé USB pirate, déguisée en lecteur d'empreinte 😅

avatar showmehowtolive | 

Et si on perd la clé ? Tous les mdp sont dessus ?

avatar adrien1987 | 

@showmehowtolive

Je suppose que c'est le même principe que la clé Ledger. Tu as 24 mots à la 1ere utilisation qui te permettent de restaurer ta clé sur une autre si tu la perd.

avatar ancampolo | 

J’ai ce type de cles depuis 6 mois je trouve ça nul...je pensais que ce serait top en usb c et discret mais ça marche mal et c’est un support supplémentaire pour rien.

avatar alexis83 | 

@ancampolo

En quoi ça marche mal ? Tu peux partager ton expérience ? Après quand ce sera bien adopté de façon officiel ça marchera certainement mieux 🤷‍♂️

avatar sangoke | 

Et est-ce qu’au lieu de brancher une clé à un à notre mac par exemple, l’objectif serait de passer directement par TouchID ou FaceID sur notre smartphone (connecté en Bluetooth au mac comme Handoff par exemple) ou directement depuis le mac pour ne pas avoir à brancher quoi que ce soit dessus ?

Parce que de toute façon pour utiliser ça sur un iPhone on ne peut pas brancher de clé USB ou alors une clé lightning mais ça veut dire qu’il faut une clé usb pour l’ordi et une clé lightning pour l’iPhone pas très pratique..

avatar Domsware | 

Et si la clé Yubico – par exemple
– est volée p?

avatar DahuLArthropode | 

@Domsware

Il ne fait pas te faire voler le doigt avec.

avatar valcapri | 

@Domsware

La clé est protégée par un code PIN du moins chez Yubico.

Pages

CONNEXION UTILISATEUR