Le World Wide Web Consortium (W3C) et l'Alliance FIDO annoncent que la spécification Web Authentication (WebAuthn) est désormais un standard Web officiel. Cette avancée veut être une étape majeure pour rendre Internet plus sûr et plus fonctionnel pour les utilisateurs du monde entier.

La Recommandation WebAuthn du W3C, composant essentiel de la suite de spécifications FIDO2 [1] de l'Alliance FIDO, est un standard pour navigateurs et plateformes permettant une authentification plus simple et plus robuste. Ce standard, déjà pris en charge dans Windows 10 et Android, ainsi que les navigateurs Chrome, Firefox, Edge et Safari, permet aux utilisateurs de se connecter à leurs comptes Internet à l'aide de l'appareil de leur choix. Les services et applications Web peuvent activer cette fonctionnalité pour donner à leurs utilisateurs la possibilité de se connecter plus facilement via la biométrie, les appareils mobiles et/ou les clés de sécurité FIDO, avec une sécurité bien supérieure à celle des seuls mots de passe.

« Le moment est venu pour les services Web et les entreprises d'adopter WebAuthn pour déjouer la vulnérabilité des mots de passe et améliorer la sécurité des expériences en ligne des internautes, a déclaré Jeff Jaffe, président directeur-général du W3C. La recommandation du W3C établit des directives d'interopérabilité à l'échelle du Web, définissant des attentes cohérentes pour les utilisateurs et les sites qu'ils visitent. Le W3C s’efforce de mettre en œuvre cette meilleure pratique sur son propre site. »

Pour W3C et l'alliance FIDO, il est établi que les mots de passe ont perdu leur efficacité. Les mots de passe par défaut, faibles ou ayant été volés sont non seulement à l'origine de 81 % des violations de données, mais ils créent en outre une perte considérable de temps et de moyens. Ainsi, selon une étude récente de Yubico (contributeur au projet WebAuthn au sein de W3C), les utilisateurs consacrent 10,9 heures par an à la saisie et/ou à la réinitialisation de leurs mots de passe, entraînant un coût moyen de 5,2 millions de dollars par an aux entreprises. Les solutions traditionnelles d'authentification multi-facteurs (MFA), tels que les mots de passe à usage unique (One-time Passwords ou OTP) reçus par SMS, ajoutent une couche de sécurité supplémentaire, mais restent néanmoins vulnérables aux attaques par phishing, ne sont pas simples d'utilisation, et souffrent d'un faible taux d'adoption.

Avec FIDO2 et WebAuthn, la communauté technologique mondiale s'est réunie pour élaborer une solution commune à la problématique mondiale des mots de passe. Selon ses concepteurs, FIDO2 résout tous les problèmes associés à l'authentification traditionnelle :

• Sécurité : les identifiants de connexion cryptographiques FIDO2 sont uniques sur chaque sites Internet, et aucune information biométrique ou autres informations confidentielles tels que les mots de passe ne quittent le terminal de l'utilisateur ou ne sont stockés sur un serveur. Ce modèle de sécurité élimine tout risque de phishing, toutes formes de vol de mots de passe, et les attaques par « rejeu ».
• Commodité : les utilisateurs se connectent avec des méthodes pratiques telles que les lecteurs d'empreintes digitales, les appareils photo, les clés de sécurité FIDO ou leur appareil mobile.
• Confidentialité : les clés FIDO étant uniques pour chaque site Internet, elles ne peuvent pas être utilisées pour traquer les utilisateurs à travers les sites qu’ils consultent.
• Évolutivité : les sites Internet peuvent activer FIDO2 par simple appel API sur tous navigateurs et toutes plateformes équipées, au moyen de milliards d'appareils utilisés quotidiennement par les consommateurs.

« Web Authentication en tant que norme Web officielle représente l’apogée de nombreuses années de collaboration de l’industrie pour développer une solution pratique permettant une authentification robuste sur le Web, a déclaré Brett McDowell, directeur exécutif de l'Alliance FIDO. Grâce à cette étape, nous entrons désormais dans la phase suivante de notre mission commune visant à proposer une authentification plus simple et plus forte et s'appuyant sur le matériel d'authentification FIDO. »

Pour les fournisseurs et fournisseurs de services prêts à se familiariser avec les spécifications FIDO2 et le déploiement sur navigateurs et plateformes, l'Alliance FIDO fournit des outils de test et a lancé un programme de certification. À l'heure actuelle, il existe de nombreuses solutions FIDO2 certifiées prenant en charge de nombreux cas, notamment des serveurs universels certifiés FIDO prenant en charge FIDO2 et tous les appareils UAF et U2F antérieurs pour une compatibilité totale avec la gamme complète d'authentificateurs FIDO certifiés.

Le site de l'alliance FIDO propose des des ressources pour les développeurs.

[1] FIDO2 rassemble la spécification Web Authentication (WebAuthn) du W3C ainsi que le protocole CTAP (Client-to-Authenticator Protocol) de l'Alliance FIDO.