Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’Alliance FIDO étend son programme de certification

mars 2018 par Emmanuelle Lamandé

L’Alliance FIDO, un consortium de plus de 250 membres dont la mission est d’élaborer des spécifications et des programmes de certification pour une authentification plus simple et plus forte, annonce l’élargissement de son programme de certification en y incluant des évaluations de sécurité multi-niveaux pour les systèmes d’authentification, tels que les clés de sécurité physique et les outils biométriques pour terminaux mobiles et PC.

Ces nouvelles certifications d’authentification permettront d’augmenter la confiance que les particuliers, les entreprises et les prestataires de services accordent au niveau de protection dont bénéficient les identifiants stockés dans les systèmes d’authentification FIDO, conformes aux standards en vigueur en cas d’attaque ciblée contre leurs appareils. Le nouveau programme incorpore la certification fonctionnelle traditionnelle de l’Alliance FIDO, qui mesure la conformité et assure l’interopérabilité entre les produits et services compatibles avec les spécifications de l’Alliance FIDO.

Exigences de sécurité et niveaux disponibles

L’Alliance FIDO propose actuellement des programmes de test et de certification couvrant deux niveaux de sécurité pour l’ensemble des spécifications publiées  : FIDO Certified Level 1 (L1) Authenticator et FIDO Certified Level 2 (L2) Authenticator. Des niveaux supplémentaires englobant une gamme complète d’exigences de sécurité seront annoncés ultérieurement.

Tous les systèmes d’authentification certifiés L1 doivent franchir avec succès des tests d’interopérabilité et de conformité aux spécifications de l’Alliance FIDO. Ils sont également soumis à un contrôle de conception par rapport aux exigences de certification FIDO afin de vérifier que le mécanisme de sécurité utilisé par le système d’authentification est optimisé pour le système d’exploitation sur lequel il est déployé.

Selon les exigences de certification de sécurité FIDO L2, les systèmes d’authentification doivent mettre en œuvre un environnement d’exploitation restreint, tel qu’un environnement d’exécution de confiance (TEE) ou un élément sécurisé (SE). Le but est de protéger les données biométriques et les identifiants d’authentification contre les compromissions du système d’exploitation induits par le téléchargement d’applications, de contenus malveillants sur internet et autres menaces similaires. Les systèmes d’authentification certifiés FIDO L2 doivent également être soumis à un contrôle de conception complet, effectué par un laboratoire de certification de sécurité tiers agréé par l’Alliance FIDO. Comme dans le cas des certifications L1, le système d’authentification doit réussir les tests d’interopérabilité.

Les spécifications publiées par l’Alliance FIDO en matière d’authentification forte incluent la cryptographie à clé publique et des expériences utilisateur simples en vue d’aider les individus à réduire leur dépendance à l’égard des mots de passe. L’utilisation de la cryptographie à clé publique — une technique où la clé privée est stockée dans un appareil qu’elle ne quitte jamais — garantit que les informations d’identification FIDO ne sont pas sensibles aux attaques de grande envergure comme le phishing, la forme la plus courante de piratage contre les identifications par mot de passe. Grâce à cette approche, toutes les implémentations certifiées FIDO sont, de façon intrinsèque, davantage sécurisées que les systèmes basés sur des mots de passe. Les niveaux de certification annoncés par l’Alliance FIDO vont encore plus loin en matière de sécurité forte en garantissant que les systèmes d’authentification conservent en toute sécurité les « secrets » et, dans certains cas, les informations biométriques, de la clé cryptographique, et confirment que les principes de confidentialité sont respectés. Les fournisseurs de services internet, qui acceptent les identifiants de l’Alliance FIDO pour assurer une authentification forte, bénéficient d’un programme étendu qui leur permet d’évaluer, de définir des exigences et d’augmenter le niveau de confiance qu’ils accordent aux systèmes d’authentification de l’Alliance FIDO utilisés par les particuliers. Les fournisseurs de technologies qui incluent des systèmes d’authentification FIDO dans leurs produits indiquent en toute confiance que leurs implémentations répondent aux exigences des fournisseurs de services.




Voir les articles précédents

    

Voir les articles suivants