Qu’il s’agisse d’opérations bancaires et financières, de shopping ou de communication avec les amis et la famille : à l’ère des ordinateurs, smartphones et autres, une part importante de la vie se déroule en ligne. Dans ce contexte, la connexion sécurisée aux services web et la protection de la sphère privée jouent un rôle important. Le nombre croissant de vols de données d’utilisateurs montre toutefois que la saisie du nom d’utilisateur et du mot de passe ne suffit plus. La nouvelle norme d’authentification FIDO2 permet d’ores et déjà de se connecter en toute sécurité sans mot de passe. Dans cet article, nous vous expliquons comment fonctionne la nouvelle procédure de connexion et quels sont ses avantages et ses inconvénients.
FIDO2 (« Fast Identity Online 2 ») est un nouveau standard Internet et le développement sans mot de passe de FIDO U2F. Il devrait, à moyen ou long terme, rendre superflue la saisie traditionnelle d’un mot de passe.
Ces trois termes sont synonymes de la clé FIDO2. Il s’agit de l’appareil avec lequel vous vous authentifiez auprès des services. Il se présente généralement sous la forme d’une clé USB ou d’un porte-clés.
Actuellement, Microsoft.com et les services qui y sont connectés (par ex. Outlook.com, Office 365 et OneDrive) ainsi que Windows Hello utilisent déjà la connexion sans mot de passe. Pour cela, il faut toutefois utiliser le navigateur Edge. De nombreux autres services permettent déjà d’utiliser FIDO2 comme deuxième facteur.
Table des matières
1. comment fonctionne l’authentification avec FIDO2
FIDO2 se base sur le Client to Authenticator Protocol (CTAP) et le standard W3C WebAuthnm qui, ensemble, permettent une vérification à l’aide d’authentificateurs cryptographiques (p. ex. PIN ou biométrie) ou externes. Il peut s’agir par exemple de clés USB, de wearables et même d’appareils mobiles comme les smartphones ou les tablettes.
WebAuthn permet d’activer l’authentification FIDO via une API web standard (en JavaScript), qui est également implémentée dans différents systèmes d’exploitation et navigateurs. CTAP permet aux différents jetons FIDO2 d’interagir avec le navigateur concerné et d’agir en tant qu’authentificateur. Pour cela, le navigateur utilisé et les jetons doivent pouvoir communiquer via CTAP.
Il est bon de le savoir : Sous Windows 10 et Android à partir de la version 7, l’authentification FIDO2 fonctionne même sans matériel supplémentaire, car ces systèmes d’exploitation peuvent eux-mêmes agir comme des authentificateurs (virtuels). Sous macOS, cela fonctionne uniquement en combinaison avec Google Chrome. Dans la version bêta actuelle d’iOS 13.3, Safari maîtrise également le nouveau standard d’identification.
Avec la clé FIDO2, vous vous identifiez auprès d’un site WebAuthn fiable (appelé serveur FIDO2), qui appartient généralement à un site Web ou à une application Web. En fonction de l’implémentation du service, deux options différentes sont disponibles :
Avec l’authentification à un facteur, vous n’avez besoin que de l’authentificateur (par exemple la clé USB) pour vous connecter, alors qu’avec l’authentification à deux facteurs, vous devez également saisir un code PIN ou un mot de passe.
C’est bon à savoir : FIDO2 a été créé par l’alliance non commerciale FIDO, fondée en 2012 par Lenovo, PayPal, Infineon, Nok Nok Labs, Validity Sensors et Agnitio. Un an plus tard, Google, NXP et Yubico ont également rejoint l’alliance. L’objectif de ce groupement d’intérêt est de développer des normes industrielles ouvertes et sans licence pour l’authentification mondiale sur Internet.
2) Quels sont les avantages et les inconvénients de FIDO2 par rapport aux autres méthodes d’authentification ?
Très clairement, les mots de passe représentent en soi un immense risque de sécurité. FIDO2 crypte le login par défaut avec une paire de clés (publique et privée) et, par rapport à une authentification par mot de passe « normale », FIDO2 offre nettement moins de surface d’attaque aux pirates. Si quelqu’un voulait accéder à vos comptes d’utilisateur, il devrait d’abord entrer en possession de votre token. Le déverrouillage ne peut se faire que via l’appareil enregistré. Les risques de sécurité tels que le vol de mot de passe appartiennent donc pratiquement au passé.
Le token FIDO peut en outre être utilisé pour différents services web. Cela signifie que vous ne devez plus vous souvenir de dizaines de mots de passe différents, mais que vous pouvez vous connecter simplement par un clic, une saisie vocale ou en branchant votre matériel. Comme nous l’avons déjà mentionné, l’authentification peut toutefois aussi se faire sans aucun matériel externe pour certains systèmes d’exploitation. Cela rend les processus de connexion non seulement plus confortables et plus rapides, mais permet également de gagner de la place sur le trousseau de clés.
Actuellement pas encore disponible pour tous les services web
Malgré tous ses avantages, FIDO2 présente aussi quelques inconvénients que nous ne voudrions évidemment pas passer sous silence ici. D’une part, très peu de services web proposent encore cette nouvelle forme d’authentification. A cela s’ajoutent les coûts d’acquisition de l’authentificateur externe, ce qui peut vite devenir très cher, surtout dans les entreprises où chaque collaborateur a besoin de son propre jeton.
Autre problème : si vous souhaitez mettre en œuvre FIDO2 dans le cadre d’une authentification à deux facteurs, vous devez en outre continuer à saisir un code PIN ou un mot de passe. Si vous devez vous connecter plusieurs fois par jour à différents services, cela peut devenir une tâche très pénible à la longue.
3) FIDO2 en pratique : différents exemples d’application
FIDO2 n’en est actuellement qu’à ses débuts, mais les experts s’attendent à ce que tous les services en ligne prennent en charge la norme à plus ou moins long terme. Actuellement, Facebook, Twitter, GitHub et BoxCryptor offrent déjà un support pour FIDO2. Les utilisateurs des services Microsoft peuvent même se connecter sans mot de passe. Les services web de Microsoft sont en outre les seuls à proposer, outre l’authentification à deux facteurs, une connexion sans mot de passe.
En outre, l’authentification est déjà possible avec Chrome, Edge, Firefox, Windows et Android. Seul Apple, comme d’habitude, s’y oppose et bricole sa propre solution appelée « Login avec Apple ». Mais tôt ou tard, il faudra bien se plier à la nouvelle norme.
Voici à quoi pourrait ressembler le travail avec FIDO2 à l’avenir
- Pour vous connecter à Windows , vous utilisez un token FIDO (par exemple la YubiKey de Yubico) que vous connectez à un port USB de votre PC. En appuyant brièvement sur le bouton tactile, vous vous connectez. D’autres scénarios envisageables sont le déverrouillage de Windows via un smartphone ou une smartwatch, à l’aide d’un lecteur d’empreintes digitales externe ou par reconnaissance faciale via la caméra.
- La connexion à Facebook, Amazon, Google et autres se fera à l’avenir par empreinte digitale sur un smartphone Android compatible.
- Vous pouvez également associer une clé de sécurité à votre compte KeePass. Celui-ci peut alors être facilement déverrouillé à l’aide de la clé via votre smartphone, sans que vous ayez à effectuer de saisie supplémentaire.
Conseil : sur le site webauthn.io, vous pouvez vous inscrire et vous connecter à titre d’essai via Webauthn et tester ainsi à l’avance la nouvelle authentification web selon les spécifications W3C.
Vous trouverez une discussion plus approfondie sur FIDO2 dans la vidéo suivante :