Le W3C veut sécuriser le web en authentifiant les utilisateurs
Toujours renforcer la sécurisation de la navigation web, notamment en tentant d'éradiquer les risques de phishing. C'est l'une des missions que se donne le World Wide Web Consortium (W3C). L'organisation chargée de définir les standards du Web a publié, fin mai, le premier document de travail sur la spécification d'authentification du web (Web Authentification Specification). « Cela constitue une étape importante pour rendre disponible l'authentification de confidentialité préservant du hameçonnage sur le Web et pour réduire la dépendance aux mots de passe », écrit le W3C. Et la publication du premier document de travail public constitue le « le signal à la communauté pour commencer à réviser [les propositions] ».
Une API WebAuthn
En l'état, le consortium propose l'usage d'une API qui, à partir d'un script du navigateur, permettra de rendre les pages web compatibles avec WebAuthn, le futur standard d'authentification des identifiants utilisateur. Autrement dit, il s'agit d'équiper les navigateurs d'outil de chiffrement des identifiants à partir d'une clé
propre à chaque utilisateur/appareil et de mécanismes de vérification pour sécuriser les accès des utilisateurs aux applications et pages.
Pour cela, le W3C propose de stocker une ou plusieurs informations d'identification sur un 'authentificateur' (authenticator), et de relier chaque identifiant à une seule zone de confiance (Relying Party, l'entité qui s'appuie sur l'authentification fournie par WebAuthn). « Les authentificateurs sont chargés de veiller à ce qu'aucune opération ne soit effectuée sans le consentement de l'utilisateur, explique l'organisme. L'agent gère l'accès aux informations d'identification afin de préserver la confidentialité des utilisateurs. Les authentificateurs utilisent une attestation pour fournir une preuve cryptographique de leurs propriétés à la zone de confiance. »
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Les navigateurs équipés de préversions WebAuth
Les éditeurs ont déjà commencé à implémenter des mécanismes d'authentifications dans leurs navigateurs. Microsoft a ainsi intégré une version antérieure à la spécification proposée aujourd'hui. Il faut savoir que Web Authentication propose de fusionner en une seule les trois spécifications précédemment proposées en novembre 2015 par la FIDO Alliance. Dont celle de Redmond, donc, mais aussi de Google Chrome (membre de la FIDO Alliance) et Mozilla Firefox dont les spécifications proposées serviront ainsi de base de travail au W3C pour implémenter WebAuth.
Cette nouvelle spécification web entend donc répondre à la problématique d'authentification des utilisateurs qui se heurtent aujourd'hui aux nombreux vols d'identifiants et mots de passe insuffisamment sécurisés, notamment sur les plates-formes de réseaux sociaux comme ce fut le cas pour Linkedin en 2012 alors que ces données sont aujourd'hui vendues sur darkweb. L'idée d'authentifier l'utilisateur à partir de plusieurs facteurs et non plus seulement sur le seul couple identifiant/mot de passe pourrait s'inscrire comme une réponse efficace aux vols et autres usurpations d'identités. Le groupe de travail Web Authentication se fixe a septembre 2016 pour proposer une version stable (Candidate Recommendation) de la spécification d'authentification avant de la proposer en tant que norme du W3C.
Lire également
Microsoft développe un système ID basé sur la blockchain
La double authentification affaiblie par la synchronisation
Windows 10 : la sécurité et l'authentification renforcées
Crédit Photo : Olivier le Moal-Shutterstock
Sur le même thème
Voir tous les articles Cybersécurité