Depuis des décennies, nous utilisons le système de sécurité classique qui est composé d’une com­bi­nai­son d’un mot de passe et d’un nom d’uti­li­sa­teur. Si vous souhaitez vous connecter n’importe où sur Internet - que ce soit sur le portail d’un réseau social ou sur une boutique en ligne, vous devez saisir le nom de votre compte ou iden­ti­fiant, puis un mot de passe secret. Mais il s’est avéré que cette tech­no­lo­gie n’est pas aussi parfaite qu’on le supposait : les uti­li­sa­teurs choi­sis­sent en effet souvent des mots de passe pas assez sécurisés, utilisent aussi les mêmes mots de passe pour de nombreux comptes et se rendent ainsi vul­né­rables face aux attaques et ten­ta­tives de piratage. C’est pourquoi l’Alliance FIDO s’est associée au World Wide Web Con­sor­tium (W3C) pour dé­ve­lop­per un système à la fois plus sûr et plus pratique que la tra­di­tion­nelle pro­tec­tion par mot de passe.

Le résultat de cette coo­pé­ra­tion est FIDO2 et WebAuthn. Un autre mécanisme souvent mentionné en rapport avec la nouvelle sécurité en ligne est le protocole CTAP ou Client to Au­then­ti­ca­tor Protocol. Mais que signifie exac­te­ment ce terme ?

Qu’est-ce que le CTAP ?

FIDO2 et WebAuthn sont destinés à remplacer l’habituel mot de passe. À la place, les données bio­mé­triques comme par exemple une empreinte digitale vont en effet sécuriser les comptes en ligne. Mais un token (jeton) matériel - par exemple sous la forme d’une clé USB - peut également être utilisé pour l’au­then­ti­fi­ca­tion. De tels dis­po­si­tifs sont appelés des « au­then­ti­fi­ca­teurs » dans le contexte du système de la FIDO. La com­mu­ni­ca­tion entre ce jeton (token) et le système de l’uti­li­sa­teur est contrôlée par CTAP. Le protocole détermine donc comment les deux com­po­sants doivent com­mu­ni­quer entre eux afin d’obtenir une au­then­ti­fi­ca­tion et une connexion réussie sur le Web.

CTAP est dis­po­nible en deux versions dif­fé­rentes. La première version du protocole était aussi connue sous le nom d’Universal 2nd Factor (U2F) et se réfère prin­ci­pa­le­ment à l’au­then­ti­fi­ca­tion à deux facteurs. CTAP2 sert à la mise en œuvre de l’in­no­va­tion autour de FIDO2. Le nouveau protocole en com­bi­nai­son avec WebAuthn garantit le bon fonc­tion­ne­ment de FIDO2. WebAuthn règle la connexion entre le système de l’uti­li­sa­teur et le site Web sur lequel la personne doit s’iden­ti­fier. Le CTAP, quant à lui, règle la connexion entre l’au­then­ti­fi­ca­teur et le PC ou l’or­di­na­teur portable de l’uti­li­sa­teur – ou bien le na­vi­ga­teur sur la pla­te­forme, ce dernier étant res­pon­sable de l’au­then­ti­fi­ca­tion.

Fonc­tion­ne­ment du CTAP (Client to Au­then­ti­ca­tor Protocol)

Image: Présentation schématique du CTAP
WebAuthn et CTAP tra­vail­lent ensemble pour faire fonc­tion­ner FIDO2.

Pour s’assurer que seules les personnes au­to­ri­sées peuvent bien se connecter à un compte en ligne, il doit exister une forme ou autre d’au­then­ti­fi­ca­tion. Avec FIDO2, un dis­po­si­tif sup­plé­men­taire doit être utilisé à cet effet, avec lequel on peut s’iden­ti­fier en tant qu’uti­li­sa­teur d’une pla­te­forme en ligne. Ces jetons ou tokens devraient remplacer les mots de passe peu pratiques et qui sont souvent peu sûrs. Il est prévu que l’au­then­ti­fi­ca­teur se connecte à l’appareil réel sur lequel l’uti­li­sa­teur navigue via USB, NFC ou Bluetooth. Pour que CTAP, WebAuthn et FIDO2 fonc­tion­nent, le na­vi­ga­teur utilisé doit également prendre en charge les nouvelles normes. Par ailleurs, les leaders du marché ont d’ores et déjà im­plé­menté FIDO2 dans les versions actuelles des na­vi­ga­teurs.

Note

Il existe aussi d’autre types d’au­then­ti­fi­ca­teurs qui sont di­rec­te­ment intégrés dans le PC, or­di­na­teur portable ou smart­phone. Il s’agit prin­ci­pa­le­ment d’outils de capture de FaceID ou TouchID, scanners d’em­preintes digitales ou appareils photo avec re­con­nais­sance faciale. Comme ce matériel n’est pas externe, les com­po­sants matériels ne né­ces­si­tent alors pas de protocole de com­mu­ni­ca­tion séparé.

La com­mu­ni­ca­tion via CTAP suit un certain modèle. Tout d’abord, le na­vi­ga­teur (ou tout autre logiciel res­pon­sable) se connecte à l’au­then­ti­fi­ca­teur et lui demande des in­for­ma­tions. Le système détermine l’option d’au­then­ti­fi­ca­tion proposée par le pé­ri­phé­rique externe. Sur la base de ces in­for­ma­tions, le système peut alors envoyer une requête à l’au­then­ti­fi­ca­teur. L’au­then­ti­fi­ca­teur envoie alors une réponse ou un message d’erreur si la requête ne cor­res­pond pas aux capacités du pé­ri­phé­rique.

Avec cette méthode, les données d’au­then­ti­fi­ca­tion, comme par exemple une empreinte digitale, ne quittent jamais la zone d’accès de l’uti­li­sa­teur. Les données sensibles restent donc dans le système. Le na­vi­ga­teur n’envoie qu’une con­fir­ma­tion par WebAuthn que l’accès est bien conforme et rè­gle­men­taire. Cette trans­mis­sion s’effectue à son tour par le biais d’une procédure à clé publique. Les attaques de l’homme au milieu ne sont donc ici pas possibles. Les attaques de phishing (ha­me­çon­nage) de­vien­nent également inutiles avec CTAP, WebAuthn et FIDO2. En effet, si les in­ter­nautes n’ont plus à fournir de mots de passe et de noms d’uti­li­sa­teur, ces derniers ne peuvent pas être in­ter­cep­tés et piratés par des hackers.

Note

Un au­then­ti­fi­ca­teur peut être im­plé­menté comme clé de sécurité FIDO2. C’est un petit support de stockage amovible (USB) qui fonc­tionne comme clé. En possédant la clé de sécurité, l’uti­li­sa­teur prouve qu’il a l’au­to­ri­sa­tion d’accéder au compte en ligne. Dans ce cas, la clef et le système com­mu­ni­quent entre eux via le protocole CTAP.

Aller au menu principal