En ce moment

La fin de la galère avec les mots de passe ?

Posté le 29 mars 2019
par Philippe RICHARD
dans Informatique et Numérique

On ne peut pas s’en passer et il est pourtant assez faible : le mot de passe est le sésame qui nous protège contre les pirates. Mais comme il est difficile de se souvenir de tous ses mots de passe, il offre peu de sécurité. Cette situation va s’améliorer avec WebAuthn.

Annoncé pour la première fois par le W3C et l’Alliance FIDO en novembre 2015, WebAuthn est maintenant une norme d’authentification qui ambitionne de remplacer le mot de passe pour sécuriser nos comptes en ligne. « Cette avancée est un grand pas en avant pour rendre le Web plus sûr – et utilisable – pour les utilisateurs du monde entier », a déclaré le W3C dans son communiqué de presse.

 WebAuthn est une interface. C’est ce qu’on appelle une API. Cette Application programming interface utilise une cryptographie asymétrique (à clé publique) au lieu de mots de passe ou de textes SMS pour l’enregistrement, l’authentification et l’authentification à double facteur avec les sites Web.

Sécurité et simplicité

Cela résout les problèmes de sécurité importants liés à l’hameçonnage (phishing), aux fuites de données et aux attaques visant les solutions à double facteur d’authentification tout en augmentant considérablement la facilité d’utilisation. Les utilisateurs n’ont plus à gérer des dizaines de mots de passe toujours plus complexes (mots de passe dits « forts » pour être plus difficiles, voire impossibles, à deviner).

WebAuthn peut se présenter sous la forme d’une clé de sécurité FIDO (de l’Alliance du même nom, Fast IDEntity Online) à connecter au port USB d’un ordinateur. Ce standard peut aussi être utilisé avec la reconnaissance digitale, faciale…

Ce standard pour navigateurs (ordinateurs et smartphones) et plateformes en ligne est déjà pris en charge par Windows 10 et Android, ainsi que par Google Chrome, Mozilla Firefox (qui avait commencé à la supporter dès avril 2018), Microsoft Edge et Apple Safari (preview).

Les services et applications Web commencent à activer cette fonctionnalité. WebAuthn est déjà implémenté sur des sites tels que Dropbox, Facebook, GitHub, Salesforce, Stripe et Twitter.


Pour aller plus loin