L'authentification pratique sans mot de passe se rapproche de WebAuthn

Le World Wide Web Consortium (W3C) et l'Alliance FIDO ont annoncé aujourd'hui qu'une nouvelle spécification, WebAuthn ("Authentification Web"), avait été promue au stade de la recommandation du candidat, l'avant-dernière étape du processus de normalisation Web.

WebAuthn est une spécification permettant aux navigateurs d’exposer des sites d’authentification matérielle - USB, Bluetooth ou NFC - vers des sites Web. Ces périphériques permettent aux utilisateurs de prouver leur identité sur des sites sans requérir de noms d'utilisateur et de mots de passe. La spécification a été développée conjointement par FIDO, un organisme du secteur qui développe des systèmes d’authentification sécurisée, et W3C, le groupe du secteur qui supervise l’élaboration des normes Web.

Avec les navigateurs et les sites WebAuthn, les utilisateurs peuvent se connecter à l'aide d'un matériel biométrique intégré (tels que les systèmes de reconnaissance d'empreintes digitales et de reconnaissance faciale largement déployés) et de systèmes d'authentification externe tels que le matériel YubiKey USB. Avec WebAuthn, aucune information d'identification d'utilisateur ne quitte le navigateur et aucun mot de passe n'est utilisé, ce qui offre une protection solide contre le phishing, les attaques de type "man-in-the-middle" et les attaques de relecture.

Microsoft, Google et Mozilla se sont tous engagés à prendre en charge WebAuthn. WebAuthn est activé par défaut pour Chrome 67 et Firefox 60, tous deux dus à leur version stable de mai.

WebAuthn repose sur une spécification FIDO antérieure appelée Universal Authentication Factor (UAF). UAF n'a pas été très bien accueilli par les principaux navigateurs, et ses spécifications sur la manière dont il devrait fonctionner avec les navigateurs mobiles. WebAuthn bénéficie du soutien des principaux éditeurs de navigateurs et est également conçu pour être plus polyvalent. Il est capable de gérer un plus grand nombre de facteurs d'authentification, couvrant non seulement les authentificateurs biométriques et matériels, mais également les codes PIN ou même des tests plus élémentaires qui vérifient simplement la présence d'un utilisateur, sans aucune indication de l'identité de cet utilisateur.

Avec WebAuthn en place, l'adoption généralisée de l'authentification sans mot de passe sera beaucoup plus pratique. Nous ne verrons certainement pas la fin du mot de passe du jour au lendemain, mais c'est le type d'infrastructure qui doit être mise en place avant de pouvoir être remplacé de manière crédible.