Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les solutions certifiées FIDO2 permettent de réduire l’utilisation des mots de passe sur internet

septembre 2018 par Marc Jacob

Les standards d’authentification FIDO2 permettent aux sites web de remplacer les mots de passe vulnérables par des identifiants sécurisés par chiffrement, en utilisant des alternatives appropriées, telles que la biométrie et les clés de sécurité Londres, le 27 septembre 2018 – La prise en charge des navigateurs web et la disponibilité des premiers produits certifiés conformes au standard FIDO2 vont permettre de réduire l’utilisation des mots de passe sur internet, annonce l’Alliance FIDO. Désormais, n’importe quel site web peut utiliser les protocoles d’authentification forte FIDO2 du W3C (World Wide Web Consortium) et de l’Alliance FIDO, pour remplacer les mots de passe par des connexions sécurisées par cryptographie, en utilisant des techniques simples, telles que les clés de sécurité FIDO ou la méthode d’authentification biométrique dont disposent les terminaux les plus récents.

Google Chrome, Microsoft Edge et Mozilla Firefox prennent désormais en charge le standard FIDO2, une étape majeure depuis son lancement en avril dernier. Entre cette compatibilité et le lancement de produits nouvellement certifiés pour un large éventail de scénarios d’utilisation, les prestataires de services disposent à présent de tous les outils nécessaires pour déployer l’authentification FIDO sur leurs sites web et dans leurs applications. L’authentification FIDO a démontré sa capacité à protéger les utilisateurs contre le phishing et les risques de sécurité inhérents à l’utilisation de mots de passe, à améliorer leur expérience en ligne par rapport à la mémorisation et à la saisie de mots de passe, ainsi qu’à réduire les coûts de support de l’authentification.

« Avec FIDO2, le secteur des technologies a, pour la toute première fois, mis en place un standard grâce auquel les authentifications sur internet peuvent résister aux tentatives de phishing, et qui garantit une sécurité renforcée ainsi qu’une expérience utilisateur améliorée. Ces produits certifiés et le soutien des navigateurs web leaders répondent à cette promesse en apportant de nouvelles fonctionnalités au marché, confie Brett McDowell, Directeur Exécutif de l’Alliance FIDO. Toute application web, que ce soit pour les consommateurs ou les entreprises, sur mobile ou sur ordinateur, peut à présent être utilisée pour tirer parti de ces innovations à l’échelle d’internet, avec la certitude qu’elles ont été approuvées par un programme de certification indépendant conçu et géré par leurs pairs. »

De nombreuses entreprises ont obtenu la certification FIDO2 pour leurs clients, serveurs, authentificateurs biométriques et clés de sécurité, parmi lesquelles : CROSSCERT : KECA (Korea Electronic Certification Authority) ; Dream Security Co., Ltd. Korea ; ETRI ; eWBM Co., Ltd. ; IBM ; Infineon Technologies ; INITECH Co., Ltd. ; Nok Nok Labs (Universal Server) ; OneSpan ; Raonsecure ; Samsung SDS ; Singular Key ; Whykeykey Inc. ; Yahoo Japan Corporation ; Yubico. Les produits certifiés FIDO2 par l’Alliance FIDO assurent la conformité aux spécifications, ainsi que l’interopérabilité avec les produits FIDO.

L’Alliance annonce par ailleurs le premier serveur universel certifié FIDO, que le fournisseur de service peut utiliser pour assurer la compatibilité avec les authentificateurs conformes à toutes les spécifications FIDO (FIDO UAF, FIDO U2F et FIDO2).

Le standard FIDO2 en quelques mots

Le standard FIDO2 inclut la spécification WebAuthn du W3C et le protocole CTAP (Client to Authenticator Protocol) développé par l’Alliance FIDO, permet de s’authentifier facilement pour accéder à des services en ligne à partir d’un terminal fixe ou mobile. Le standard FIDO2 prend en charge un large éventail d’expériences et de scénarios d’authentification — y compris sans mot de passe, à deux facteurs ou multifacteur — pour assurer un niveau de sécurité maximum. Les identifiants fonctionnant uniquement avec mot de passe peuvent désormais être remplacés par des gestes simples qui utilisent la biométrie intégrée (reconnaissance faciale, scan de l’iris, empreintes digitales) et/ou des clés de sécurité portables.

Ces expériences utilisateurs simples bénéficient d’une sécurité cryptographique puissante et totalement transparente qui les protège contre le phishing, les attaques par l’homme au milieu, « man in the middle », ou qui exploitent des identifiants volés. Enfin, les navigateurs web et les services en ligne conformes au standard FIDO2 sont entièrement rétrocompatibles avec l’ensemble des clés de sécurité FIDO U2F déjà certifiées.

Pour de plus amples renseignements sur le standard FIDO2 et accéder aux ressources destinées aux développeurs et aux fournisseurs de produits qui souhaitent participer au programme de certification FIDO Certified, visitez le site web de l’Alliance FIDO.




Voir les articles précédents

    

Voir les articles suivants