Actu
La certification FIDO2 d’Android accélère la migration mondiale au-delà des mots de passe
février 2019 par Marc Jacob
L’Alliance FIDO annonce qu’Android est désormais certifié FIDO2. Cette certification contribuera à simplifier et à renforcer les capacités d’authentification de plus d’un milliard d’appareils qui utilisent quotidiennement cette plateforme. Cette annonce implique que tout appareil compatible fonctionnant sous Android 7.0+ est désormais certifié FIDO2 dès sa sortie, ou après une mise à jour automatique des services Google Play. Grâce à cette certification, les consommateurs pourront utiliser le capteur d’empreintes digitales intégré de leur appareil et/ou les clés de sécurité FIDO pour bénéficier d’un accès sécurisé sans mot de passe aux sites internet et aux applications natives prenant en charge les protocoles FIDO2.
Les développeurs web et applicatifs peuvent désormais intégrer l’authentification forte FIDO à leurs applications et sites internet basés sur Android via un simple appel à l’API. Cela leur permettra d’offrir une sécurité sans mot de passe, et résistante au phishing, à une base d’utilisateurs finaux en pleine expansion qui possèdent déjà des terminaux Android à la pointe de la technologie, et/ou qui feront l’acquisition de nouveaux appareils plus modernes à l’avenir.
« Google travaille depuis longtemps avec l’Alliance FIDO et le W3C pour normaliser les protocoles FIDO2. Ceux-ci permettent à n’importe quelle application d’aller au-delà de l’authentification par mot de passe, tout en offrant une protection contre les attaques de phishing, explique Christiaan Brand, chef de produit, chez Google. La certification FIDO2 obtenue par Android contribue à faire avancer cette initiative. Elle offre à nos partenaires et développeurs une approche normalisée pour accéder aux magasins de clés (keystores) sécurisés sur les appareils déjà présents sur le marché, ainsi que sur les modèles à venir, afin d’établir des contrôles biométriques pratiques pour les utilisateurs ».
Déjà pris en charge par les principaux navigateurs internet Google Chrome, Microsoft Edge et Mozilla Firefox (avec, en avant-première, la prise en charge par Apple Safari), FIDO2 comprend la spécification d’authentification Web du World Wide Web Consortium (W3C) et le protocole CTAP (Client to Authenticator Protocol) correspondant de l’Alliance FIDO. Ensemble, ces normes permettent aux utilisateurs de se connecter plus facilement et en toute sécurité aux services en ligne, à l’aide de dispositifs compatibles avec FIDO2, tels que des lecteurs d’empreintes digitales, des appareils photo et/ou des clés de sécurité FIDO.
La simplicité de l’expérience utilisateur de FIDO2 s’appuie sur une sécurité cryptographique forte, qui est transparente pour l’utilisateur et qui protège contre le phishing, les attaques de l’homme au milieu (« man-in-the-middle »), et les attaques utilisant des identifiants volés. La prise en charge de FIDO2 s’est accrue depuis l’introduction des spécifications au printemps dernier. En plus de la prise en charge des navigateurs et des plateformes, plusieurs produits certifiés FIDO2 ont été annoncés pour en appuyer la mise en œuvre.
Les fabricants d’appareils qui souhaitent bénéficier d’une certification prête à l’emploi et afficher le logo FIDO Certified sur leurs appareils Android doivent consulter le nouvel accord relatif à l’utilisation de la marque et des services de FIDO.
