Notre futur sans mot de passe est proche (mais pas vraiment).

Les connexions sans mot de passe ont longtemps fait rêver les chercheurs en sécurité et les défenseurs de la vie privée, sans parler des personnes ordinaires qui utilisent chaque jour leurs mots de passe dans un navigateur. Dans un dernier article (Est-on proche de la fin du mot de passe ?), les efforts de l’industrie pour mettre fin à notre dépendance au mot de passe multi-caractères ont abouti à la proposition de nombreuses méthodes de connexion alternatives, y compris la vérification biométrique et l’utilisation de données comportementales pour prouver l’identité d’un individu. Mais la plupart de ces tentatives n’ont pas encore conduit à la terre promise : Un web sans mots de passe.

Maintenant, une nouvelle norme pour le Web est sortie et s’appelle WebAuthn. Il est salué comme un grand pas en avant dans l’authentification sécurisée et « probablement la mesure anti-phishing la plus efficace pour le web qui existe », selon Selena Deckelmann, directrice principale de l’ingénierie pour Mozilla Firefox. Il introduit un ensemble de règles pour le Web qui, si elles sont adoptées par les navigateurs et les sites Web populaires, signifieraient que les gens pourraient utiliser un seul appareil ou une seule empreinte digitale pour se connecter, eh bien, presque tout.

Mais comme les tentatives sans mot de passe avant elle, WebAuthn fait encore face à des obstacles avant que cela ne devienne quelque chose qui a un impact sur les masses. Certains experts en sécurité et en identité semblent réticents à prétendre que notre futur sans mot de passe est enfin arrivé. Et beaucoup de succès de WebAuthn se résume à savoir si des sites Web très populaires comme Amazon ou Facebook adopteront cette nouvelle norme.

La nouvelle norme WebAuthn est un effort conjoint entre le World Wide Web Consortium (WC3) et l’Alliance FIDO, composée d’une variété de sociétés technologiques et financières et présidée par des experts en identité en ligne. WebAuthn s’appuie sur deux spécifications préexistantes FIDO (U2F et UAF) que certains sites utilisent pour vérifier l’identité d’un utilisateur grâce à l’authentification 2FA ou à deux facteurs. Cette méthode de connexion, qui oblige un utilisateur à entrer à la fois un mot de passe et un moyen secondaire de vérification d’identité pour accéder à son compte, est une façon plus infaillible de confirmer l’identité de quelqu’un que de demander un mot de passe.

Tout autour du Web, l’authentification sans mot de passe est généralement proposée en tant qu’option secondaire pour la connexion à un site Web. En permettant aux navigateurs Web de gérer ces connexions en mode natif, les partisans de WebAuthn pourraient faire en sorte qu’ils deviennent le principal moyen d’autorisation des utilisateurs sur le Web. Google, Mozilla et Microsoft ont tous dit qu’ils sont à bord.

C’est beaucoup de jargon et un peu confus. Mais, fondamentalement, cela signifie que la connexion aux navigateurs et aux comptes en ligne pourrait être à la fois plus facile et plus sûre pour les consommateurs. Vous pouvez vous connecter soit en utilisant une clé physique qui se branche sur le port USB de votre ordinateur, comme le nouveau, 20 $ Yubikey a annoncé la semaine dernière qui prend en charge le nouveau protocole FIDO; ou en utilisant une connexion biométrique comme une empreinte digitale. Il pourrait y avoir un processus initial de connexion ou d’inscription qui impliquerait la saisie d’un mot de passe. Mais après cela, la connexion serait, en théorie, un processus en une étape.

Un exemple, dit Dave Bossio, un gestionnaire de programme de groupe pour la sécurité du système d’exploitation chez Microsoft, utiliserait Windows Hello comme un authentificateur pour votre navigateur sur votre ordinateur portable. Et puisque Windows Hello couvre trois formes d’authentification une épingle, un capteur d’empreintes digitales ou une caméra de reconnaissance faciale – cela donnerait aux gens différentes options. « Le navigateur [support] commencera à s’aligner au milieu de la seconde moitié de 2018 », dit Bossio, « alors il y aura une étape provisoire, une fois que cette partie aura permis à son backend de supporter FIDO2, et après qu’il s’agira d’une authentification en une seule étape de ce compte. »

À certains égards, la nouvelle norme est similaire à « TouchID d’Apple, mais un pas en avant », explique Zhiwei Li, le fondateur et PDG d’un démarrage de protection par mot de passe appelé Pepperword. Li a également acquis une certaine notoriété en exposant des vulnérabilités dans l’application de gestion de mot de passe LastPass en 2013.

« Avec TouchID, vous utilisez votre empreinte digitale pour vous connecter à un périphérique local.Avec FIDO2, vous pouvez réellement vous connecter à votre bureau en utilisant votre empreinte digitale sur votre téléphone », explique Li. En d’autres termes, il répliquerait le processus propriétaire qu’Apple a maintenant pour s’authentifier entre des périphériques, mais sur des produits non-Apple. « FIDO2 est en train de standardiser la manière de le faire, de bout en bout », dit Li. (Apple est le principal fabricant de navigateurs qui n’a pas exprimé de soutien pour WebAuthn.)

Ce qui peut être encore plus bénéfique que de simplifier les connexions est la protection contre les attaques de phishing: S’il n’y a pas de mot de passe à saisir, ce mot de passe ne peut pas être volé. « Je pense que c’est une grosse affaire pour les gens qui sont des célébrités ciblées, ou des personnes fortunées qui ont activement des gens qui tentent de pirater leurs comptes », explique Sarah Squire, architecte technique senior chez Ping Identity. Squire cite le scandale des photos de célébrités de 2014 comme un exemple d’une telle attaque. « Cela fait en sorte que quiconque se connecte à ce compte doit avoir une clé, comme un Yubikey, donc les gens ne peuvent pas facilement être phishing. »

Il y a une certaine ironie que cette solution futuriste implique toujours un dongle physique, quelque chose que j’ai mentionné à Squire et à d’autres. Les clés d’identité sécurisées, comme celles fabriquées par RSA, existent depuis au moins 15 ans, alors pourquoi les gens achètent-ils mieux un Yubikey ? Une réponse est pratique: vous n’avez besoin d’entrer dans aucune sorte de pin avec ce nouveau Yubikey. Vous venez de le brancher sur votre ordinateur. L’autre réponse est plus compliquée, c’est-à-dire qu’à certains égards, ce n’est pas mieux; les clés physiques peuvent encore être perdues ou volées, et vous transportez toujours un appareil supplémentaire avec vous.

Mais le plus grand défi auquel WebAuthn est confronté, plus important que les inconvénients ou les coûts associés aux périphériques physiques, est d’obtenir des sites Web populaires comme Amazon, Facebook ou tout autre site que vous visitez quotidiennement. C’est selon Samuel Weiler, membre du groupe de travail WebAuthn du WC3. « Les gestionnaires de mots de passe sont géniaux car ils peuvent être adoptés unilatéralement », explique M. Weiler. « Pour que cette technologie fonctionne, les sites web doivent faire des changements pour s’y adapter. »

Et Li dit que le processus d’intégration pour une entreprise comme Amazon peut être « compliqué », c’est pourquoi il y a le soutien initial des sociétés de navigation, mais pas des entreprises de commerce électronique ou des sites sociaux.

« Au départ, nous n’aurons pas ce futur glorieux sans mot », explique Deckelmann de Mozilla. « Au début, cela fonctionnera comme un second facteur, quelque chose que les sites web devront écrire un peu de code. »

Pourtant, si WebAuthn est largement adopté, WebAuthn a le potentiel d’offrir une « grande amélioration de l’expérience utilisateur », explique Deckelmann.

Et Li, avec d’autres, convient que WebAuthn déplace l’ensemble de l’industrie dans la bonne direction. « Les mots de passe ne sont pas un problème parce qu’un utilisateur se fout, je pense que tout l’écosystème est brisé », dit Li. « Et il faut quelqu’un comme FIDO pour le réparer. »

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage