Le mot de passe traditionnel vit peut-être ses dernières heures puisque le W3C a enfin validé le standard WebAuthn qui propose de remplacer le mot de passe par authentification de type biométrique, un smartphone, une tablette ou même une clé USB sécurisée.
La FIDO Alliance, à l’origine du projet, s’est félicitée de cette adoption car elle estime que la protection par mot de passe est désormais obsolète. « Il est de notoriété publique que les mots de passe ne sont plus efficaces » peut-on lire dans le communiqué publié par les deux organismes. « Non seulement les mots de passe volés, faibles ou par défaut sont à l’origine de 81% des atteintes à la sécurité des données, mais ils représentent également une perte de temps et de ressources. »
Au total, les employés passeraient près de 11 heures par an à saisir ou réinitialiser leurs mots de passe, coûtant en moyenne plus de cinq millions de dollars par an aux entreprises.
Reste désormais à ce que les systèmes d’exploitation et les navigateurs prennent en charge ce nouveau standard, et la bonne nouvelle, c’est que Chrome, Firefox, Edge et Safari avaient anticipé cette annonce et ils sont prêts à abandonner le mot de passe au profit de la reconnaissance faciale ou tactile.
L’Alliance FIDO (Fast IDentity Online), consortium industriel dédié à l’authentification forte, et le World Wide Web Consortium (W3C), organisation chargée des standards du Web, ont annoncé en avril dernier le lancement du projet FIDO2 qui regroupe plusieurs initiatives.
Il s’appuie sur la spécification d’authentification Web (WebAuthn) du W3C et sur le protocole CTAP (Client-to-Authenticator Protocol) de l’Alliance FIDO. Par ailleurs, FIDO2 complète d’autres spécifications existantes de l’Alliance : l’authentification sans mot de passe UAF (Universal Authentication Framework) et l’authentification à deux facteurs U2F (Universal Second Factor). Le consortium précise que les navigateurs web et les services en ligne FIDO2 sont « rétrocompatibles » avec toutes les clés de sécurité FIDO certifiées précédemment.
Google, Microsoft et Mozilla se sont déjà engagés à intégrer la norme WebAuthn dans leurs navigateurs respectifs (Chrome, Edge, Firefox). Et à la déployer progressivement dans leurs OS (Android et Windows 10 notamment, avec un support intégré).
Bien évidemment, il faut aussi que les serveurs, à l’autre bout de la chaîne, soient prêts pour cette bascule.
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…