+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 839
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 839
    Points : 55 803
    Points
    55 803
    Billets dans le blog
    2

    Par défaut Le W3C travaille sur une norme d’authentification forte pour les navigateurs

    Le W3C travaille sur une norme d’authentification forte pour les navigateurs
    pour sécuriser l'accès aux applications web et empêcher le phishing

    Dans le contexte de sécurité actuel animé par les vols de mots de passe et fuites de données, le groupe de travail Web Authentication (WebAuthn) du W3C a publié un draft sur la spécification d’une norme d’authentification forte pour les différentes plateformes de navigateur. Pour rappel, le World Wide Web Consortium (W3C) est un organisme international de normalisation à but non lucratif, chargé de promouvoir la compatibilité des technologies du World Wide Web telles que HTML5. Ses travaux sont reconnus pour être en général adoptés par les principaux fournisseurs de navigateurs web. En ce qui concerne le groupe de travail WebAuthn, sa mission consiste à mettre en place une norme d’authentification forte pour les navigateurs. En sécurité des systèmes d'information, une authentification forte est une procédure d'identification qui requiert la concaténation d'au moins deux facteurs d'authentification.

    C’est de manière discrète que le WebAuthn a publié en fin mai, le premier draft d’une norme qui vise à ajouter des contrôles cryptographiques à l’authentification sur les différents navigateurs web. Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing. Ciblant en général les utilisateurs des sites bancaires ou de boutiques en ligne, les attaques de phishing consistent à mettre en place de faux sites qui ressemblent à des sites légitimes, avec pour but d’inciter les internautes à saisir leur nom d'utilisateur et leur mot de passe, ou toute autre information privée.

    Comme l’explique le groupe de travail sur sa page d’accueil, il s’agit d’une « étape importante pour rendre disponible sur le web une authentification préservant la confidentialité et non exposée aux attaques de phishing, et pour réduire la dépendance vis-à-vis des mots de passe ». Cette norme viserait donc à supprimer le besoin de saisir des mots de passe. L’utilisateur se connecte en effet à ses sites ou applications web grâce à une méthode basée sur un authentificateur qui peut être un smartphone ou un jeton d’identification (clé USB de sécurité, carte à puce, etc.).

    L’utilisateur va enregistrer des identifiants cryptographiques uniques pour chacun des sites et applications web auxquels il a l'habitude de se connecter. Ces identifiants sont enregistrés sur l’identificateur dont l’utilisateur va ensuite se servir pour autoriser les opérations telles que la connexion. « Les authentificateurs sont responsables de veiller à ce qu’aucune opération ne soit effectuée sans le consentement de l'utilisateur », est-il précisé dans le draft. La confidentialité est également assurée dans la mesure où l'utilisateur est en contrôle de ses informations d'identification et clés cryptographiques. Un agent utilisateur gère l'accès aux informations d'identification afin de préserver la confidentialité des utilisateurs.

    À travers ce premier draft, le W3C envoie un signal aux développeurs pour examiner la spécification d’authentification web. Ces derniers sont surtout invités à faire des recommandations sur l’implémentation et l’utilisation de cette nouvelle norme.

    Sources : Groupe de travail Web Authentication, Premier draft de la norme d’authentification

    Et vous ?

    Que pensez-vous de cette norme d’authentification pour les navigateurs web ?

    Voir aussi :

    Le W3C a commencé à travailler sur la spécification de HTML 5.1, et donne la possibilité aux parties tierces de faire des suggestions sur GitHub
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau membre du Club
    Profil pro
    Inscrit en
    août 2009
    Messages
    15
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2009
    Messages : 15
    Points : 31
    Points
    31

    Par défaut Question

    Le protocole TLS n'est-il pas fait pour ça ? Il permet d'authentifier les utilisateurs, non pas sur la base d'un couple utilisateur/mdp mais sur la génération d'un certificat, validé côté serveur.

    Après, pour réellement avoir de la sécurité il faudrait commencer par avoir des listes de certificats autorisés, plutôt que des arborescences de CAs opaques et qui peuvent signer tout et n'importe quoi.

  3. #3
    Membre actif
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2009
    Messages
    81
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : avril 2009
    Messages : 81
    Points : 256
    Points
    256

    Par défaut

    Oui et non. Les certificats sont une bonne idée, mais comme tu dis, ils reposent sur des distributeurs de certificats qui sont reconnus pour avoir livrer des certificats valides à de mauvaises personnes pour les mauvaises raisons. Mais même en ne tenant pas compte de cela, il y a le problème que monsieur-madame tout le monde ne sait toujours pas ce qu'est un certificat, ne savent pas en installer un et que l'on accède de plus en plus à des services à l'aide de divers appareils (sur lesquels il faudrait alors tous avoir installé le certificat en question). Je pense qu'une authentification à deux facteurs est une bonne idée.

    Mais la vraie question est: Pourquoi a-t-on besoin de cette norme du W3C alors que c'est déjà implémenté et largement répandu chez les géants du Web? Je ne pense pas que ce soit si compliqué d'utiliser ce genre de service de nos jours, et cela doit pouvoir se faire à l'aide d'API qui n'ont pas nécessairement à être standards. Reste que mon identificateur favoris reste quand même celui de Microsoft qui demande seulement d'autoriser ou pas une connexion sans avoir à entrer un code de vérification. C'est plutôt facile et cool.

  4. #4
    Membre chevronné Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    751
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 751
    Points : 2 147
    Points
    2 147

    Par défaut

    Excusez si je me marre

    Mauvais copieur Microsoft et pas sur car la NSA met des backdoors dans vos algorithmes.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  5. #5
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    1 839
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 1 839
    Points : 55 803
    Points
    55 803
    Billets dans le blog
    2

    Par défaut WebAuthn : le W3C publie une nouvelle norme d'authentification

    WebAuthn : le W3C publie une nouvelle norme d'authentification
    qui permet de se connecter aux sites et applications Web sans saisir de mots de passe

    Les mots de passe ont toujours été parmi les principaux points faibles de la sécurité des utilisateurs en ligne. Un mot de passe volé par un hacker peut être utilisé par ce dernier pour essayer de se connecter à d'autres comptes de sa victime. Vu que les utilisateurs peuvent avoir à gérer de nombreux comptes en ligne, certains n'hésitent pas réutiliser le même mot de passe sur plusieurs sites pour éviter de se retrouver dans l'impossibilité d'accéder à l'un des comptes, après avoir oublié son mot de passe. Et c'est une faiblesse que cherchent très souvent à exploiter les hackers.

    Malheureusement, on a assisté ces dernières années à de nombreuses violations de sécurité qui ont touché des sites populaires et réseaux sociaux. De grosses bases de données contenant des mots de passe et autres données personnelles se sont donc retrouvées sur le marché noir et entre les mains d'acteurs malveillants.

    Dans un contexte de sécurité animé par les vols de mots de passe et fuites de données, en mai 2016, le groupe de travail Web Authentication (WebAuthn) du W3C et la FIDO (Fast IDentity Online) Alliance ont publié un draft sur la spécification d’une norme d’authentification pour les différents de navigateur. La norme, appelée WebAuthn, permettra à tout site Web ou service en ligne d'utiliser des applications, des clés de sécurité ou des données biométriques comme méthode de connexion plutôt que les mots de passe, ou d'utiliser ces approches alternatives comme deuxième méthode de vérification. Cette norme viserait donc à éliminer la nécessité de saisir des mots de passe, lorsque les utilisateurs se connectent à Internet. Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing, qui ciblent en général les utilisateurs des sites bancaires ou de boutiques en ligne.


    WebAuthn vient d'être publié en tant que recommandation W3C, l'étape finale du processus de ratification par le World Wide Web Consortium (W3C), et est donc officiellement une norme. Cela veut dire que le standard a bénéficié d'une revue et de tests extensifs, sur des considérations à la fois théoriques et pratiques. Il est donc soutenu par le W3C comme un standard pouvant être largement déployé dans son domaine.

    « Cette spécification définit une API permettant la création et l'utilisation d'informations d'identification basées sur des clés publiques fortes et attestées par des applications Web, dans le but d'authentifier fortement les utilisateurs », peut-on lire sur le site du W3C. « Conceptuellement, une ou plusieurs informations d'identification de clé publique sont créées et stockées sur un authentificateur par l'agent utilisateur en conjonction avec l'application Web. L'agent utilisateur gère l'accès aux informations d'identification de clé publique afin de préserver la confidentialité des utilisateurs. » Et « les authentificateurs sont responsables de s'assurer qu'aucune opération n'est effectuée sans le consentement de l'utilisateur. » La spécification décrit également le modèle fonctionnel des authentificateurs conformes à la norme WebAuthn.

    Le support de WebAuthn est déjà ajouté dans Firefox. La norme sera également déployée sur Microsoft Edge et Google Chrome dans les mois à venir. « Nous ne pouvons pas partager de détails sur les délais [pour la prise en charge de WebAuthn] à ce stade », a expliqué Christiaan Brand, chef de produit, Identité et Sécurité chez Google. Mais « Chrome prend en charge les initiatives FIDO et WebAuthn et nous espérons voir un support plus tard en 2018 », a-t-il dit dans un email envoyé à Vice Media. Microsoft, pour sa part, dit être « entièrement engagé à ajouter le support de WebAuthn dans Edge. » Opera s'est également engagé à supporter la norme.

    Sources : W3C, Vice

    Et vous ?

    Que pensez-vous de cette nouvelle norme ?
    Quels sont ses avantages et inconvénients ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  6. #6
    I.A. en bêta-test Avatar de MikeRowSoft
    Homme Profil pro
    sans profession depuis toujours...
    Inscrit en
    avril 2013
    Messages
    1 536
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession depuis toujours...

    Informations forums :
    Inscription : avril 2013
    Messages : 1 536
    Points : 427
    Points
    427

    Par défaut

    Registration and Authentication : C'est une alternative méthodique à celle de certaines applications de " messagerie instantanée "...

  7. #7
    Membre expérimenté

    Profil pro
    Enseignant
    Inscrit en
    décembre 2006
    Messages
    2 299
    Détails du profil
    Informations personnelles :
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : décembre 2006
    Messages : 2 299
    Points : 1 743
    Points
    1 743

    Par défaut

    Que faire si ma "donnée" biométrique est piratée ? Un code est facile à changer, une "donnée" biométrique beaucoup moins...

Discussions similaires

  1. Réponses: 4
    Dernier message: 18/06/2012, 20h21
  2. Microsoft travaille sur Office Talk, un Twitter pour les entreprises
    Par Gordon Fowler dans le forum Actualités
    Réponses: 0
    Dernier message: 22/03/2010, 16h38
  3. Réponses: 3
    Dernier message: 27/04/2008, 19h10
  4. Travailler sur une date
    Par HqX dans le forum Langage SQL
    Réponses: 11
    Dernier message: 05/10/2004, 15h54

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo