WebAuthn : le futur du web sans mot de passe

Qu'est-ce que l'API WebAuthn ?Avec l’arrivée des outils de reconnaissance faciale et autres capteurs d’empreinte, le mot de passe commence à perdre du terrain et surtout de son attrait auprès des utilisateurs, avides de nouveautés et de nouvelles technologies.

Le recours aux systèmes authentificateurs et autres intermédiaires biométriques gagnent du terrain et la nouvelle API WebAuthn entend surfer sur cette nouvelle tendance.

 

Un nouveau protocole sécurisé pour accéder aux sites Web

Même si l’API WebAuthn n’est encore jusqu’à présent qu’une simple ligne de code, elle devrait changer radicalement les habitudes des utilisateurs d’Internet.

Annoncée comme une solution standardisée permettant de remplacer les mots de passe textuels utilisés actuellement, elle évitera aux éditeurs de site d’avoir à gérer l’authentification de leurs utilisateurs.

Depuis 2005, la FIDO Alliance, qui regroupe les géants de l’informatique tels que Google, Mozilla ou encore Microsoft, travaille à mettre au point une nouvelle manière de s’identifier en ligne.

L’API WebAuthn a déjà été soumise au W3C et est déjà disponible sur la version Nightly de Firefox 60. Elle devrait pouvoir être accessible sur Chrome et Edge dans les prochains mois.

Exit les combinaisons d’identifiant et de mot de passe, l’authentification se fera de manière physique comme c’est déjà le cas sur plusieurs smartphones dont les modèles iPhone X d’Apple. À noter que le nouveau protocole de sécurité promet d’être fiable et sécurisé, développeurs et entreprises de toute taille pourront ainsi l’utiliser et l’adapter à leurs services en ligne et leurs sites web.

 

WebAuthn : quels avantages ?

Ce qui singularise l’API WebAuthn, c’est qu’elle repose sur un système authentificateur physique tel qu’un dongle USB, un système de reconnaissance faciale ou encore un capteur d’empreinte digitale.

Pour se connecter aux sites web fonctionnant sous WebAuthn, l’utilisateur n’aura plus à insérer son identifiant et son mot de passe puisqu’il lui suffira de mettre son doigt sur le capteur d’empreinte de sa tablette ou de son smartphone pour s’identifier.

Contrairement aux générateurs de mots de passe textuels classiques, la solution se révèle deux fois plus fiable, car aucun mot de passe ne sera stocké ni dans le service ni sur le site Web.

De plus, les risques de piratage seront réduits, car il sera difficile de récupérer le mot de passe, et ce, même en utilisant le système d’hameçonnage ou de phishing. En effet, le pirate devra accéder à l’appareil authentificateur avant de pouvoir récupérer la clé de sécurité privée de l’utilisateur, ce qui lui sera bien difficile. La clé privée permettant à l’utilisateur de se connecter ne sera connue que de ce dernier et au moment de se connecter, son smartphone enverra au site un message d’authentification signé avec sa clé, lui permettant ainsi d’entrer sur le site de manière sécurisée.

Même avec de nombreux avantages, notamment en termes de simplicité d’utilisation et de fiabilité, il reste que le nouveau protocole présente aussi quelques freins. Notamment il faut que l’utilisateur se connecte sur le site Web via un appareil équipé d’un capteur physique, car il ne pourra pas se connecter via un ordinateur de bureau classique.

Gageons que d’ici quelques années, les chercheurs auront trouvé une parade à ce petit inconvénient.

 

Crédit : anyaberkut © Fotolia

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *