L’authentification est au cœur de la sécurité numérique. Nous l’utilisons pour protéger nos appareils (ordinateurs, tablettes, smartphones, etc…), nos données, ou encore pour restreindre l’accès aux services que nous utilisons (comptes mail, applications bancaires, etc…).
L’authentification, étape clé de la sécurité
Le principal outil d’identification est un mixte login / mot de passe. Pour autant, les mots de passe non seulement nuisent à l’expérience utilisateur mais ils représentent surtout paradoxalement … la principale faille de sécurité ! En effet, pour pallier la multiplicité des mots de passe à retenir, la plupart des usagers utilisent des mots de passe non sécurisés et faciles à deviner quand ils ne réutilisent pas systématiquement le même, faisant du mot de passe le principal vecteur d’attaque utilisé dans les violations de données.
Pour preuve, les nombreuses attaques massives visant à compromettre des mots de passe qui ont été constatées : 1 milliard de comptes Yahoo piratés, 145 millions de comptes eBay ou encore 117 millions de comptes LinkedIn, et plus récemment Uber avec plus 57 millions de victimes …
Mais le changement est dans l’air, et un avenir plus sécurisé sans mot de passe se dessine …
Les smartphones, pionniers de l’identification sans mot de passe
Nos smartphones ont été les leaders de cette révolution sans mot de passe. Qu’il s’agisse des derniers iPhones Apple utilisant la reconnaissance faciale «Face ID» ou des appareils mobiles Samsung Galaxy et de leur scanner d’empreintes digitales à ultrasons, ces appareils ont tranquillement changé la façon dont nous nous authentifions, à partir de données biométriques.
L’alliance FIDO acteur majeur de l’authentification sans mot de passe
L’Alliance FIDO a joué un rôle déterminant dans la conduite de l’authentification sans mot de passe. (FIDO signifie «Fast IDentity Online»). La mission déclarée de l’association de l’industrie ouverte est la promotion de «normes d’authentification pour aider à réduire la dépendance excessive du monde à l’égard des mots de passe». La FIDO Alliance s’efforce d’améliorer l’authentification avec des normes ouvertes qui sont plus sécurisées que les mots de passe, plus simples à utiliser pour les consommateurs et plus faciles à déployer et à gérer pour les fournisseurs de services.
En 2018, FIDO a adopté la spécification WebAuthN créée par le World Wide Web Consortium (W3C) dans le cadre de sa norme FIDO2. Cela fournit une interface de programmation d’application (API) qui peut être facilement implémentée sur n’importe quel site Web ou service et peut communiquer directement avec un navigateur comme Google Chrome, Microsoft Edge ou Apple Safari pour lancer l’authentification basée sur FIDO.
Il faut dire que l’alliance FIDO fédère tous les leaders technologiques : Apple, Amazon, ARM, Facebook, Google, Intel, Microsoft, Mastercard, PayPal, Samsung, Visa, VMware… Les MacBook Apple dotés de la fonction de reconnaissance Touch ID ont intégré FIDO. Et Samsung a déjà livré des appareils sur lesquels le capteur biométrique est compatible FIDO.
Grâce à FIDO et WebAuthN, les propriétaires d’applications peuvent enfin supprimer complètement le mot de passe, avec une sécurité accrue qui rend difficile le piratage.
En effet, lors de l’enregistrement initial, une paire de clés cryptographiques unique est créée : une clé privée sécurisée au sein de l’authentificateur et une clé publique envoyée au service. Seule une réponse signée utilisant la clé privée correcte terminera l’authentification. La biométrie déverrouille la clé envoyée au serveur, sachant que toutes les données biométriques sont stockées sur l’appareil plutôt que sur un serveur central.
Par conséquent, non seulement un pirate informatique aurait besoin d’attaquer chaque appareil, mais il devrait également identifier et compromettre chaque clé…
ForgeRock, acteur leader de l’avenir sans mot de passe
ForgeRock propose une approche complète de l’authentification sans mot de passe, en fournissant un support natif pour WebAuthN. Disponible aujourd’hui, le moteur d’authentification de ForgeRock dispose de deux fonctionnalités intégrées : la prise en charge standard de FIDO WebAuthN et l’authentification push. La plate-forme d’identité prend en charge de manière native la spécification FIDO2 WebAuthn, qui permet aux utilisateurs de tirer parti de leurs smartphones, appareils informatiques ou jetons matériels pour s’authentifier auprès des services en ligne. Cela signifie que tout appareil prenant en charge WebAuthN peut être utilisé comme authentificateur pour ForgeRock sans avoir besoin de logiciel supplémentaire.
L’authentification hors bande est également intégrée. Ainsi, le moteur d’authentification intelligent ForgeRock informe l’utilisateur que l’authentification pour un appareil qui a été inscrit dans ForgeRock est requise. Une fois l’appareil inscrit, ForgeRock envoie automatiquement une notification push et demande à l’utilisateur de s’authentifier en utilisant la méthode native de l’appareil, comme le toucher, la reconnaissance faciale ou d’autres techniques.
Mais surtout, ForgeRock peut s’appuyer sur un réseau de plus de 75 partenaires qui ont développé des solutions FIDO complètes et prêtes à l’emploi.
« Notre portefeuille de solutions tierces comprend des systèmes biométriques centralisés pour répondre au besoin d’itinérance ou de mouvement inter-appareils, des solutions FIDO créatives et faciles à mettre en œuvre, ainsi que des modalités biométriques innovantes qui vont au-delà de ce qui est disponible avec FIDO ou natif de l’appareil », souligne Ludovic Poitou. Et pour en savoir plus sur ces solutions, c’est ici : https://www.forgerock.com/blog/passwordless-future-here-now?utm_content=https://www.forgerock.com&utm_medium=social-organic&utm_source=linkedin
