Le consortium international W3C a approuvé un nouveau standard dont le déploiement va permettre d’améliorer la sécurité des usages en ligne.
Le mot de passe appartiendra bientôt au passé et c’est une bonne nouvelle. Le World Wide Web Consortium (W3C), l’organisation qui gère les standards du Web, a annoncé la mise en place d’un nouveau modèle d’authentification. Il concernera notamment l’accès aux banques en ligne, aux réseaux sociaux ou encore aux sites d’e-commerce. L’institution internationale, qui réunit plus de 400 grandes organisations liées au web, prévoit de déployer la connexion par biométrie et périphériques mobiles. Le grand public verra sa mise en place dans les prochains mois et années. Il faut en effet laisser le temps aux développeurs d’adapter les sites à ce nouveau standard. Jugés aisément piratables et peu fiables, les mots de passe devraient, quant à eux, progressivement tirer leur révérence.
Associé au FIDO, un standard d’authentification, le W3C a dû mettre d’accord les représentants de plus de 30 entreprises comme Airbnb, Alibaba, Apple, Google ou encore le français Orange. Il était question de mettre au point un système d’authentification simplifié pour l’utilisateur et qui améliore la sécurité des comptes.
Les utilisateurs auront le choix entre deux modes d’authentification: soit depuis un périphérique externe (smartphone, badge NFC, clé USB, montre connectée), soit directement depuis leur ordinateur par biométrie (reconnaissance d’empreinte, de visage, d’iris ou de la voix). Certaines de nos machines embarquent déjà les équipements nécessaires (lecteur d’empreinte, webcam), ils vont peu à peu se démocratiser. Pour ce qui est de la reconnaissance d’iris, elle nécessite des caméras de bonne qualité et un logiciel particulier, peu communs sur les appareils grand public. Néanmoins, certains smartphones haut de gamme comme le Galaxy S9 en sont déjà pourvus. Une fois lancés par l’utilisateur, ces systèmes enverront une signature numérique au site pour accéder au service. Comme le rapporte 01net, ce standard attendait l’approbation du W3C depuis 2015.
L’organisation annonce avoir déjà convaincu de nombreux acteurs du numérique comme les navigateurs Chrome, Edge, Mozilla et Opéra ainsi que des plateformes à l’instar de Facebook, ebay ou Google. Facebook et Google justement se sont déjà équipés de ce mode d’authentification en complément du mot de passe. Les entreprises vont peu à peu déployer le standard FIDO2, par le biais de l’API WebAuthn (une interface logicielle) récemment mise à disposition des développeurs.
Les mots de passe, «maillon faible» de la sécurité en ligne
«Alors qu’il y a de nombreux problèmes de sécurité en ligne et que l’on ne peut tous les résoudre, l’usage des mots de passe est l’un des maillons les plus faibles», explique Jeff Jaffe, dirigeant du consortium. En effet, de nombreux internautes ne respectent pas les règles de création de mots de passe les plus élémentaires ou se font piéger par des hackers.
L’organisation explique que la sécurité en sera donc renforcée. Le standard FIDO2 serait la solution contre le phishing, les attaques de l’homme du milieu (interceptions de communications) et les usurpations d’identité. Le phishing, par exemple, est un hameçonnage de l’internaute invité par un e-mail spam à donner des informations un site web frauduleux imitant parfaitement un site de confiance. Avec WebAuthn, il sera difficile à exécuter car le nom de domaine du service est lié au système d’authentification par cryptage. En somme, si un pirate essaie de récupérer des données via un faux site, le système ne transmettra pas la signature numérique de l’internaute. Aujourd’hui, les données d’identification comme le mot de passe transitent jusqu’au site web. S’il s’agit d’un faux, le pirate peut donc les récupérer. Si certains regretteront la nécessité d’avoir un périphérique sur soi ou de devoir faire une manipulation pour accéder à un service en ligne, le gain de sécurité sera une réelle plus-value selon le W3C.