Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’Alliance FIDO étend son programme de certification

mars 2018 par Emmanuelle Lamandé

L’Alliance FIDO, un consortium de plus de 250 membres dont la
mission est d’élaborer des spécifications et des programmes de certification
pour une authentification plus simple et plus forte, annonce l’élargissement de son programme de certification en y incluant des évaluations de sécurité multi-niveaux
pour les systèmes d’authentification, tels que les clés de sécurité physique
et les outils biométriques pour terminaux mobiles et PC.

Ces nouvelles certifications d’authentification permettront d’augmenter la
confiance que les particuliers, les entreprises et les prestataires de services
accordent au niveau de protection dont bénéficient les identifiants stockés dans
les systèmes d’authentification FIDO, conformes aux standards en vigueur en cas
d’attaque ciblée contre leurs appareils. Le nouveau programme incorpore la
certification fonctionnelle traditionnelle de l’Alliance FIDO, qui mesure la
conformité et assure l’interopérabilité entre les produits et services
compatibles avec les spécifications de l’Alliance FIDO.

Exigences de sécurité et niveaux disponibles

L’Alliance FIDO propose actuellement des programmes de test et de certification
couvrant deux niveaux de sécurité pour l’ensemble des spécifications publiées
 : FIDO Certified Level 1 (L1) Authenticator et FIDO Certified Level 2 (L2)
Authenticator. Des niveaux supplémentaires englobant une gamme complète
d’exigences de sécurité seront annoncés ultérieurement.

Tous les systèmes d’authentification certifiés L1 doivent franchir avec succès
des tests d’interopérabilité et de conformité aux spécifications de
l’Alliance FIDO. Ils sont également soumis à un contrôle de conception par
rapport aux exigences de certification FIDO afin de vérifier que le mécanisme de
sécurité utilisé par le système d’authentification est optimisé pour le
système d’exploitation sur lequel il est déployé.

Selon les exigences de certification de sécurité FIDO L2, les systèmes
d’authentification doivent mettre en œuvre un environnement d’exploitation
restreint, tel qu’un environnement d’exécution de confiance (TEE) ou un
élément sécurisé (SE). Le but est de protéger les données biométriques et les
identifiants d’authentification contre les compromissions du système
d’exploitation induits par le téléchargement d’applications, de contenus
malveillants sur internet et autres menaces similaires. Les systèmes
d’authentification certifiés FIDO L2 doivent également être soumis à un
contrôle de conception complet, effectué par un laboratoire de certification de
sécurité tiers agréé par l’Alliance FIDO. Comme dans le cas des certifications
L1, le système d’authentification doit réussir les tests
d’interopérabilité.

Les spécifications publiées par l’Alliance
FIDO en matière d’authentification
forte incluent la cryptographie à clé publique et des expériences utilisateur
simples en vue d’aider les individus à réduire leur dépendance à l’égard
des mots de passe. L’utilisation de la cryptographie à clé publique — une
technique où la clé privée est stockée dans un appareil qu’elle ne quitte
jamais — garantit que les informations d’identification FIDO ne sont pas
sensibles aux attaques de grande envergure comme le phishing, la forme la plus
courante de piratage contre les identifications par mot de passe. Grâce à cette
approche, toutes les implémentations certifiées FIDO sont, de façon intrinsèque,
davantage sécurisées que les systèmes basés sur des mots de passe.
Les niveaux de certification annoncés par l’Alliance FIDO vont encore plus loin
en matière de sécurité forte en garantissant que les systèmes
d’authentification conservent en toute sécurité les « secrets » et, dans
certains cas, les informations biométriques, de la clé cryptographique, et
confirment que les principes de confidentialité sont respectés.
Les fournisseurs de services internet, qui acceptent les identifiants de
l’Alliance FIDO pour assurer une authentification forte, bénéficient d’un
programme étendu qui leur permet d’évaluer, de définir des exigences et
d’augmenter le niveau de confiance qu’ils accordent aux systèmes
d’authentification de l’Alliance FIDO utilisés par les particuliers. Les
fournisseurs de technologies qui incluent des systèmes d’authentification FIDO
dans leurs produits indiquent en toute confiance que leurs implémentations
répondent aux exigences des fournisseurs de services.


Voir les articles précédents

    

Voir les articles suivants