WebAuthn : standardiser pour mieux authentifier

En 2018, le mot de passe cherche à se faire oublier. Apple a marqué les esprits avec la fonctionnalité de reconnaissance faciale pour son nouvel iPhone X, rapidement imitée par la concurrence. Mais si Apple fait du bruit, cela fait plusieurs années que les éditeurs et constructeurs cherchent à se débarrasser de l’encombrant couple identifiant/mot de passe.

La nouvelle API WebAuthn entend résoudre ce problème pour le web, et proposer une solution standardisée plutôt que de laisser à chaque éditeur de site gérer l’authentification des utilisateurs à sa manière.

 

Miser sur le local

Les premiers travaux sur cette API remontent en 2015. Celle-ci se base sur une technologie proposée par la Fido Alliance, un consortium industriel qui regroupe plusieurs acteurs afin de développer les nouvelles solutions d’authentification. On y retrouve notamment Google, Intel, Paypal ou encore Lenovo.

WebAuthn propose « une API permettant la création et l’utilisation d’identifiants en clef publique pour les applications web. » Cette API entend notamment éviter le transfert d’identifiant ou d’empreinte sur le web : l’authentification de l’utilisateur se fait entièrement en local, sans jamais quitter la machine.

L’API a pour cela recours à ce que le document nomme « compliant authenticator », terme qui désigne notamment les Trusted Plateform Module et autres Secure Elements qui se sont multipliés dans les appareils. Ces modules dédiés à la gestion des clefs cryptographiques de manière sécurisée sont utilisés pour authentifier l’utilisateur, et signalent ensuite au site que l’utilisateur est bien celui qu’il prétend être.

L’API WebAuthn est également accompagnée du protocole CTAP (Client to authenticator protocol) qui permet de faciliter le transfert d’information d’authentification entre un navigateur et un outil d’authentification externe (capteur d’empreinte, clef USB, etc.)

Cette nouvelle recommandation du W3C est soutenue par Microsoft, Google et Mozilla, qui ont tous les trois promis d’intégrer le nouveau standard au sein de leurs navigateurs. Pour les éditeurs de site web, c’est une aubaine : ils pourront ainsi choisir de s’appuyer entièrement sur le navigateur pour gérer l’authentification des utilisateurs, sans avoir à se confronter aux risques liés au stockage et à la protection des empreintes de mot de passe.

Pour les utilisateurs, elle leur permettra d’utiliser la reconnaissance faciale, un capteur d’empreinte ou une clef USB sécurisée pour se connecter directement via un navigateur.

Go to Source


bouton-devis