L’Alliance FIDO (Fast IDentity Online), consortium industriel dédié à l’authentification forte, et le World Wide Web Consortium (W3C), organisation chargée des standards du Web, annoncent ce mardi 10 avril le lancement du projet FIDO2.
Google, Microsoft, Mozilla et bien d’autres entreprises soutiennent l’initiative.
Selon ses promoteurs, FIDO2 facilite l’utilisation d’informations d’identification chiffrées et uniques pour chaque site, à partir d’une clé propre à chaque utilisateur/appareil. Et y associe des mécanismes de vérification pour résister au phishing et renforcer la sécurité de l’accès aux sites et services en ligne. Les internautes pourront toucher un capteur d’empreintes digitales ou insérer une clé de sécurité, plutôt que de saisir un mot de passe.
Le projet FIDO2 regroupe plusieurs initiatives. Il s’appuie sur la spécification d’authentification Web (WebAuthn) du W3C et sur le protocole CTAP (Client-to-Authenticator Protocol) de l’Alliance FIDO. Par ailleurs, FIDO2 complète d’autres spécifications existantes de l’Alliance : l’authentification sans mot de passe UAF (Universal Authentication Framework) et l’authentification à deux facteurs U2F (Universal Second Factor). Le consortium précise que les navigateurs web et les services en ligne FIDO2 sont « rétrocompatibles » avec toutes les clés de sécurité FIDO certifiées précédemment.
Google, Microsoft et Mozilla se sont déjà engagés à intégrer la norme WebAuthn dans leurs navigateurs respectifs (Chrome, Edge, Firefox). Et à la déployer progressivement dans leurs OS (Android et Windows 10 notamment, avec un support intégré).
« La diffusion des spécifications FIDO2 dans les navigateurs et les systèmes d’exploitation va étendre la portée de l’authentification FIDO […] Elle est en effet déjà disponible sur des centaines de millions de terminaux et proposée à plus de 3,5 milliards de comptes utilisateurs à travers le monde. Et ce par le biais de services fournis par des sociétés telles que Google, Facebook, NTT DoCoMo ou encore Bank of America », explique l’organisation dans un communiqué.
« Après des années marquées par des violations de données et des vols croissants de mots de passe et d’identifiants, il est temps pour les fournisseurs de services en ligne de mettre fin à leur dépendance vis-à-vis de mots de passe vulnérables et de codes d’accès uniques. Et d’adopter la technique d’authentification anti-phishing de l’Alliance FIDO sur tous les sites web et avec toutes les applications », déclare Brett McDowell, directeur exécutif de la FIDO Alliance.
Celle-ci proposera prochainement des tests d’interopérabilité et des certifications pour les serveurs, clients et authentificateurs qui adhèrent aux spécifications FIDO2. De surcroît, l’organisation introduira une certification Universal Server pour les serveurs interopérables avec tous les types d’authentifiants de l’Alliance (UAF, U2F, WebAuthn et CTAP).
Lire également :
Authentification forte : les décideurs informatiques sous pression
Le W3C veut sécuriser le web en authentifiant les utilisateurs
(crédit photo © shutterstock.com)
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…