WebAuthn (Web Authentification)

Si l’on utilise Internet fréquemment, on risque vite de posséder de nombreux mots de passe et noms d’utilisateur. Vous en avez, entre autres, besoin pour les réseaux sociaux, le commerce en ligne ou pour accéder à vos comptes de messagerie électronique. Cependant, la navigation sur Internet pourrait être, à l’avenir, beaucoup plus pratique pour les internautes, du moins si la recommandation du World Wide Web Consortium (W3C) est suivi. Le nouveau standard WebAuthn est conçu pour rendre inutile la mémorisation des mots de passe, sans toutefois compromettre la sécurité des données sensibles.

Auparavant, la seule façon de confirmer son identité sur Internet était de combiner un nom d’utilisateur et un mot de passe. Avec un nom d’utilisateur (dans la plupart des cas une adresse email), un utilisateur spécifie à quel compte il est autorisé à accéder. Un mot de passe que lui seul connaît confirme ensuite son identité.

Cette méthode s’est avérée déficiente dans le passé : comme elle est assez laborieuse, les utilisateurs ont tendance à la simplifier par eux-mêmes. Ils utilisent alors des combinaisons de caractères qui sont faciles à mémoriser mais qui peuvent aussi être rapidement déchiffrées, ou bien ils utilisent le même mot de passe pour chaque compte. Pour remédier à cela, les gestionnaires de mot de passe et l’authentification à deux facteurs ont été introduits. Mais même ces mesures ne sont ni idéales ni très pratiques pour les internautes.

Le World Wide Web Consortium (un organisme de standardisation et association de plusieurs entreprises de technologies, qui publie régulièrement des normes pour Internet) a reconnu le problème et a recherché une solution. En collaboration avec la FIDO Alliance (une association de différentes entreprises pour promouvoir et uniformiser des normes d’authentification), plusieurs mesures ont été développées dans le cadre du projet FIDO2 : en plus du protocole de FIDO CTAP (Client to Authenticator Protocol), il s’agit avant tout du nouveau standard WebAuthn.

Web Authentification se veut une option d’authentification uniforme qui ne repose plus sur des mots de passe mais sur des données biométriques. La norme permet donc aux utilisateurs de se connecter à leur compte en utilisant les empreintes digitales ou la reconnaissance faciale par exemple. Aujourd’hui, de nombreux appareils (en particulier les smartphones et les ordinateurs portables) sont déjà équipés du matériel et des logiciels correspondants, ce qui explique pourquoi l’obstacle pour les utilisateurs est désormais relativement faible. Alternativement, un token matériel (jeton d’authentification) peut être utilisé pour s’identifier. Comme les utilisateurs emportent toujours cette information avec eux, ils ne peuvent ni l’oublier ni la transmettre par négligence. Avec WebAuthn, la technique de l’hameçonnage (phishing) pourrait donc probablement appartenir au passé.

WebAuthn doit à l’avenir fonctionner avec n’importe quel navigateur. Chrome, Firefox, Safari (en partie) et Edge supportent déjà le standard. Les sites Web qui souhaitent vérifier l’identité des utilisateurs à des fins de connexion accèdent à l’API Web Authentification dans le navigateur. L’utilisateur concerné ne confirme à son tour son identité que sur son propre appareil. Il utilise par exemple un lecteur d’empreintes digitales ou connecte son token à un ordinateur portable ou ordinateur de bureau. Les données d’identité sensibles (l’empreinte digitale par exemple) ne quittent pas l’appareil. Avec la méthode de la clef publique, seule une confirmation du navigateur est envoyée au service Web. L’utilisateur n’a alors pas besoin d’entrer un mot de passe ou un nom d’utilisateur.

L’interface est accessible via JavaScript. Il est donc très facile pour les opérateurs de sites Web de mettre en place Web Authentification, ce qui devrait ainsi permettre une diffusion rapide du standard. Si le fournisseur de services Web souhaite encore plus de sécurité pour son service, WebAuthn et l’authentification multifacteur (MFA) peuvent être utilisés ensemble. En sus de l’authentification par données biométriques, vous pouvez théoriquement exiger un mot de passe.

De plus, puisque les internautes ne sont plus responsables de la création des mots de passe et des noms d’utilisateur, il n’y a aucun risque que les mêmes données soient utilisées pour différents comptes. La norme garantit en effet que le compte de chaque utilisateur possède des informations d’identification uniques. Vous n’avez qu’à enregistrer votre « authentificateur » (empreinte digitale, token, etc.) une seule fois auprès du service Web et vous pouvez ensuite utiliser le login adéquat.

Contrairement aux anciennes procédures qui utilisaient un mot de passe, WebAuthn offre plusieurs avantages pour les utilisateurs et les fournisseurs de services Web. Mais c’est la facilité d’utilisation qui devrait surtout convaincre les internautes. L’information n’a en effet plus besoin d’être mémorisée. Cela s’accompagne également d’un gain important en termes de sécurité : l’utilisation de mots de passe n’est en effet sécurisée que sous certaines conditions. Ils peuvent être soit déchiffrés - avec une attaque par force brute ou avec les Rainbow Tables par exemple - ou bien les mots de passe sont piratés via l’hameçonnage (phishing). Avec WebAuthn, il n’y a pas de mot de passe qui peut être transmis ou dévoilé involontairement.

Étant donné que le nouveau standard ne transmet pas de données sur Internet, une attaque de l’homme du milieu, dans laquelle les données peuvent être exploitées pendant la transmission, n’est ici d’aucune utilité. La procédure de clé publique sécurise par chiffrement la transmission du certificat d’authenticité.

Le fait que toutes les données sensibles restent dans l’appareil de l’utilisateur est aussi un avantage pour les opérateurs de sites Web. Les fournisseurs de services qui exigent une inscription doivent actuellement investir beaucoup d’énergie et d’expertise dans la sécurisation des mots de passe et des noms d’utilisateur. Si les criminels réussissent à pénétrer dans les bases de données du fournisseur, cela peut alors être catastrophique. Les entreprises qui ne sont pas en mesure d’éviter une telle attaque seront confrontées à de graves conséquences, et les utilisateurs qui en sont victimes devront alors faire face à une utilisation frauduleuse et malveillante conséquente des données, surtout s’ils utilisent aussi ces données de connexion pour d’autres plateformes.

WebAuthn est également considéré comme plus sûr que l’authentification multifactorielle. Bien que la fonction d’identification complémentaire, qui est demandée lors de la connexion via MFA, offre une protection supplémentaire, elle n’est pas sans risque. Certaines fonctions d’authentification - comme un mot de passe unique par SMS - peuvent être interceptées relativement facilement. De plus, ces mots de passe à court terme sont également devenus des cibles privilégiées des attaques par hameçonnage (phishing). En outre, le Multi-factor authentification (MFA) est un processus relativement laborieux. WebAuthn fonctionne plus rapidement et est donc plus simple d’utilisation.

Il existe cependant des inconvénients si un nouvel « authentificateur » doit être enregistré pour un compte existant. Si par exemple, le token matériel (jeton d’authentification) est perdu, il vous en faut un nouveau. Ce nouveau token ne peut alors pas être facilement relié au profil existant, ce serait en effet un trop grand risque pour la sécurité. À la place, vous devez soit avoir un authentificateur de remplacement destiné à cet usage particulier, soit effectuer une réinitialisation. Ce processus est similaire à la réinitialisation d’un mot de passe et est particulièrement adapté aux services qui ne nécessitent pas un niveau de sécurité élevé.