Le World Wide Web Consortium (W3C) et l’Alliance FIDO viennent d’annoncer que WebAuthn est aujourd’hui un standard officiel sur internet. Ainsi, les navigateurs principaux tels que Firefox, Chrome, Edge, ou Safari permettront à leurs utilisateurs de se connecter bien plus facilement.
En février 2016, le W3C, l’organisme de standardisation d’Internet, lançait un groupe de travail avec un objectif : supprimer le mot de passe. Challenge accepté et relevé. En 2015, une initiative similaire avait déjà été lancée. FIDO2 avait été élaboré par des collaborateurs de Microsoft, PayPal et Google. Pour lancer le WebAuthn, les deux regroupements se sont réunis, et le voilà désormais certifié.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
« Le moment est venu pour les services Web et les entreprises d’adopter WebAuthn pour déjouer la vulnérabilité des mots de passe et améliorer la sécurité des expériences en ligne des utilisateurs du Web », a déclaré Jeff Jaffe, PDG du W3C.
Les mots de passe basiques, faibles, ou dérobés comptent pour 81% des vols de données. De plus, les utilisateurs passent 654 minutes par an à taper ou réinitialiser leur mot de passe. L’émergence d’un standard faisant fi du mot de passe est donc une conséquence logique et pratique de notre utilisation du web.
Au final, WebAuthn sera intégré à FIDO2 qui vient appliquer une connexion cryptée pour chaque site. Lors de l’identification, l’utilisateur pourra utiliser un lecteur d’empreinte digitale, un appareil photo, une clé de sécurité, ou son smartphone pour confirmer l’accès à son compte. FIDO2 apportera également beaucoup de simplicités aux développeurs puisqu’une API permet aux plateformes de créer aisément des ponts entre leur service et ce nouveau standard de sécurité.
Schéma de fonctionnement de FIDO2, en anglais.
Si vous souhaitez vous pencher sur cette nouvelle norme, l’Alliance FIDO propose un programme de certification ainsi que quelques outils de test.
En plus des navigateurs pour desktop, le système d’exploitation Android a été certifié il y a quelques jours, annoncé pendant le MWC 2 019. Les utilisateurs pourront donc profiter de FIDO2 à partir de la version 7 d’Android.
Maintenant, il n’y a plus qu’à attendre de voir apparaitre les premiers usages, et les premières intégrations sur les sites. En attendant, nous vous invitons à utiliser Dashlane pour protéger vos mots de passe.