Pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter, inscrivez-vous gratuitement !

 

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    2 008
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 008
    Points : 64 306
    Points
    64 306
    Billets dans le blog
    2

    Par défaut Le W3C travaille sur une norme d’authentification forte pour les navigateurs

    Le W3C travaille sur une norme d’authentification forte pour les navigateurs
    pour sécuriser l'accès aux applications web et empêcher le phishing

    Dans le contexte de sécurité actuel animé par les vols de mots de passe et fuites de données, le groupe de travail Web Authentication (WebAuthn) du W3C a publié un draft sur la spécification d’une norme d’authentification forte pour les différentes plateformes de navigateur. Pour rappel, le World Wide Web Consortium (W3C) est un organisme international de normalisation à but non lucratif, chargé de promouvoir la compatibilité des technologies du World Wide Web telles que HTML5. Ses travaux sont reconnus pour être en général adoptés par les principaux fournisseurs de navigateurs web. En ce qui concerne le groupe de travail WebAuthn, sa mission consiste à mettre en place une norme d’authentification forte pour les navigateurs. En sécurité des systèmes d'information, une authentification forte est une procédure d'identification qui requiert la concaténation d'au moins deux facteurs d'authentification.

    C’est de manière discrète que le WebAuthn a publié en fin mai, le premier draft d’une norme qui vise à ajouter des contrôles cryptographiques à l’authentification sur les différents navigateurs web. Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing. Ciblant en général les utilisateurs des sites bancaires ou de boutiques en ligne, les attaques de phishing consistent à mettre en place de faux sites qui ressemblent à des sites légitimes, avec pour but d’inciter les internautes à saisir leur nom d'utilisateur et leur mot de passe, ou toute autre information privée.

    Comme l’explique le groupe de travail sur sa page d’accueil, il s’agit d’une « étape importante pour rendre disponible sur le web une authentification préservant la confidentialité et non exposée aux attaques de phishing, et pour réduire la dépendance vis-à-vis des mots de passe ». Cette norme viserait donc à supprimer le besoin de saisir des mots de passe. L’utilisateur se connecte en effet à ses sites ou applications web grâce à une méthode basée sur un authentificateur qui peut être un smartphone ou un jeton d’identification (clé USB de sécurité, carte à puce, etc.).

    L’utilisateur va enregistrer des identifiants cryptographiques uniques pour chacun des sites et applications web auxquels il a l'habitude de se connecter. Ces identifiants sont enregistrés sur l’identificateur dont l’utilisateur va ensuite se servir pour autoriser les opérations telles que la connexion. « Les authentificateurs sont responsables de veiller à ce qu’aucune opération ne soit effectuée sans le consentement de l'utilisateur », est-il précisé dans le draft. La confidentialité est également assurée dans la mesure où l'utilisateur est en contrôle de ses informations d'identification et clés cryptographiques. Un agent utilisateur gère l'accès aux informations d'identification afin de préserver la confidentialité des utilisateurs.

    À travers ce premier draft, le W3C envoie un signal aux développeurs pour examiner la spécification d’authentification web. Ces derniers sont surtout invités à faire des recommandations sur l’implémentation et l’utilisation de cette nouvelle norme.

    Sources : Groupe de travail Web Authentication, Premier draft de la norme d’authentification

    Et vous ?

    Que pensez-vous de cette norme d’authentification pour les navigateurs web ?

    Voir aussi :

    Le W3C a commencé à travailler sur la spécification de HTML 5.1, et donne la possibilité aux parties tierces de faire des suggestions sur GitHub
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau membre du Club
    Profil pro
    Inscrit en
    août 2009
    Messages
    16
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2009
    Messages : 16
    Points : 32
    Points
    32

    Par défaut Question

    Le protocole TLS n'est-il pas fait pour ça ? Il permet d'authentifier les utilisateurs, non pas sur la base d'un couple utilisateur/mdp mais sur la génération d'un certificat, validé côté serveur.

    Après, pour réellement avoir de la sécurité il faudrait commencer par avoir des listes de certificats autorisés, plutôt que des arborescences de CAs opaques et qui peuvent signer tout et n'importe quoi.

  3. #3
    Membre actif
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2009
    Messages
    81
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : avril 2009
    Messages : 81
    Points : 256
    Points
    256

    Par défaut

    Oui et non. Les certificats sont une bonne idée, mais comme tu dis, ils reposent sur des distributeurs de certificats qui sont reconnus pour avoir livrer des certificats valides à de mauvaises personnes pour les mauvaises raisons. Mais même en ne tenant pas compte de cela, il y a le problème que monsieur-madame tout le monde ne sait toujours pas ce qu'est un certificat, ne savent pas en installer un et que l'on accède de plus en plus à des services à l'aide de divers appareils (sur lesquels il faudrait alors tous avoir installé le certificat en question). Je pense qu'une authentification à deux facteurs est une bonne idée.

    Mais la vraie question est: Pourquoi a-t-on besoin de cette norme du W3C alors que c'est déjà implémenté et largement répandu chez les géants du Web? Je ne pense pas que ce soit si compliqué d'utiliser ce genre de service de nos jours, et cela doit pouvoir se faire à l'aide d'API qui n'ont pas nécessairement à être standards. Reste que mon identificateur favoris reste quand même celui de Microsoft qui demande seulement d'autoriser ou pas une connexion sans avoir à entrer un code de vérification. C'est plutôt facile et cool.

  4. #4
    Membre émérite Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    847
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 847
    Points : 2 708
    Points
    2 708

    Par défaut

    Excusez si je me marre

    Mauvais copieur Microsoft et pas sur car la NSA met des backdoors dans vos algorithmes.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  5. #5
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    2 008
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 008
    Points : 64 306
    Points
    64 306
    Billets dans le blog
    2

    Par défaut WebAuthn : le W3C publie une nouvelle norme d'authentification

    WebAuthn : le W3C publie une nouvelle norme d'authentification
    qui permet de se connecter aux sites et applications Web sans saisir de mots de passe

    Les mots de passe ont toujours été parmi les principaux points faibles de la sécurité des utilisateurs en ligne. Un mot de passe volé par un hacker peut être utilisé par ce dernier pour essayer de se connecter à d'autres comptes de sa victime. Vu que les utilisateurs peuvent avoir à gérer de nombreux comptes en ligne, certains n'hésitent pas réutiliser le même mot de passe sur plusieurs sites pour éviter de se retrouver dans l'impossibilité d'accéder à l'un des comptes, après avoir oublié son mot de passe. Et c'est une faiblesse que cherchent très souvent à exploiter les hackers.

    Malheureusement, on a assisté ces dernières années à de nombreuses violations de sécurité qui ont touché des sites populaires et réseaux sociaux. De grosses bases de données contenant des mots de passe et autres données personnelles se sont donc retrouvées sur le marché noir et entre les mains d'acteurs malveillants.

    Dans un contexte de sécurité animé par les vols de mots de passe et fuites de données, en mai 2016, le groupe de travail Web Authentication (WebAuthn) du W3C et la FIDO (Fast IDentity Online) Alliance ont publié un draft sur la spécification d’une norme d’authentification pour les différents de navigateur. La norme, appelée WebAuthn, permettra à tout site Web ou service en ligne d'utiliser des applications, des clés de sécurité ou des données biométriques comme méthode de connexion plutôt que les mots de passe, ou d'utiliser ces approches alternatives comme deuxième méthode de vérification. Cette norme viserait donc à éliminer la nécessité de saisir des mots de passe, lorsque les utilisateurs se connectent à Internet. Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing, qui ciblent en général les utilisateurs des sites bancaires ou de boutiques en ligne.


    WebAuthn vient d'être publié en tant que recommandation W3C, l'étape finale du processus de ratification par le World Wide Web Consortium (W3C), et est donc officiellement une norme. Cela veut dire que le standard a bénéficié d'une revue et de tests extensifs, sur des considérations à la fois théoriques et pratiques. Il est donc soutenu par le W3C comme un standard pouvant être largement déployé dans son domaine.

    « Cette spécification définit une API permettant la création et l'utilisation d'informations d'identification basées sur des clés publiques fortes et attestées par des applications Web, dans le but d'authentifier fortement les utilisateurs », peut-on lire sur le site du W3C. « Conceptuellement, une ou plusieurs informations d'identification de clé publique sont créées et stockées sur un authentificateur par l'agent utilisateur en conjonction avec l'application Web. L'agent utilisateur gère l'accès aux informations d'identification de clé publique afin de préserver la confidentialité des utilisateurs. » Et « les authentificateurs sont responsables de s'assurer qu'aucune opération n'est effectuée sans le consentement de l'utilisateur. » La spécification décrit également le modèle fonctionnel des authentificateurs conformes à la norme WebAuthn.

    Le support de WebAuthn est déjà ajouté dans Firefox. La norme sera également déployée sur Microsoft Edge et Google Chrome dans les mois à venir. « Nous ne pouvons pas partager de détails sur les délais [pour la prise en charge de WebAuthn] à ce stade », a expliqué Christiaan Brand, chef de produit, Identité et Sécurité chez Google. Mais « Chrome prend en charge les initiatives FIDO et WebAuthn et nous espérons voir un support plus tard en 2018 », a-t-il dit dans un email envoyé à Vice Media. Microsoft, pour sa part, dit être « entièrement engagé à ajouter le support de WebAuthn dans Edge. » Opera s'est également engagé à supporter la norme.

    Sources : W3C, Vice

    Et vous ?

    Que pensez-vous de cette nouvelle norme ?
    Quels sont ses avantages et inconvénients ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  6. #6
    MikeRowSoft
    Invité(e)

    Par défaut

    Registration and Authentication : C'est une alternative méthodique à celle de certaines applications de " messagerie instantanée "...

  7. #7
    Membre expérimenté

    Profil pro
    Enseignant
    Inscrit en
    décembre 2006
    Messages
    2 299
    Détails du profil
    Informations personnelles :
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Enseignant

    Informations forums :
    Inscription : décembre 2006
    Messages : 2 299
    Points : 1 746
    Points
    1 746

    Par défaut

    Que faire si ma "donnée" biométrique est piratée ? Un code est facile à changer, une "donnée" biométrique beaucoup moins...

  8. #8
    Membre actif
    Homme Profil pro
    retraité
    Inscrit en
    avril 2009
    Messages
    171
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 86
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : retraité
    Secteur : Associations - ONG

    Informations forums :
    Inscription : avril 2009
    Messages : 171
    Points : 263
    Points
    263

    Par défaut

    Quelle pagaille !

  9. #9
    Membre régulier
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    novembre 2003
    Messages
    90
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : novembre 2003
    Messages : 90
    Points : 83
    Points
    83

    Par défaut

    Le protocole TLS n'est-il pas fait pour ça ? Il permet d'authentifier les utilisateurs, non pas sur la base d'un couple utilisateur/mdp mais sur la génération d'un certificat, validé côté serveur.
    Je pense que tu veux parler d'authentification mutuelle (avec certificat client). Attention, TLS n'est pas souvent utiliser comme cela, car cela impose au client d'avoir obtenu au préalable un certificat, de gèrer le renouvellement de celui-ci, et si le client utilise plusieurs machines, ça devient un calvaire...

    Après, pour réellement avoir de la sécurité il faudrait commencer par avoir des listes de certificats autorisés, plutôt que des arborescences de CAs opaques et qui peuvent signer tout et n'importe quoi.
    Libres à toi de supprimer les CA auxquels tu ne fait pas confiance de ton magasin de certificat.... De même tu peux génèrer ta propre CA (même si dans ce cas, ça complique un peu plus la chose...)

  10. #10
    Membre habitué
    Homme Profil pro
    PDG
    Inscrit en
    septembre 2005
    Messages
    100
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : PDG
    Secteur : Arts - Culture

    Informations forums :
    Inscription : septembre 2005
    Messages : 100
    Points : 182
    Points
    182

    Par défaut

    Cyrilh7, c'est ce que j'utilise pour faire de mon serveur mail un relais privé.
    J'ai créé un certificat que Postfix utilise pour me reconnaître et que j'ai dans thunderbird.

    Pour s'identifier avec un site, c'est plus dangereux par contre.
    Un membre s'enregistre (couple identifiant/mot de passe) et reçoit un certificat.
    S'il va sur un autre ordi, il doit utiliser le couple identifiant/mot de passe et reçoit le même certificat.
    Le problème est s'il utilise l'ordi d'une autre personne. Celle-ci dispose alors du certificat...
    Il faudrait alors pouvoir obtenir un certificat provisoire, mais comme ce serait à l'utilisateur de le demander il y aura forcément des oublis.
    Alors, se baser sur l'adresse IP, sur l'adresse MAC ?
    Ou demander systématiquement dès qu'une identification par ID/MdP est nécessaire ?

Discussions similaires

  1. Réponses: 4
    Dernier message: 18/06/2012, 20h21
  2. Microsoft travaille sur Office Talk, un Twitter pour les entreprises
    Par Gordon Fowler dans le forum Actualités
    Réponses: 0
    Dernier message: 22/03/2010, 16h38
  3. Réponses: 3
    Dernier message: 27/04/2008, 19h10
  4. Travailler sur une date
    Par HqX dans le forum Langage SQL
    Réponses: 11
    Dernier message: 05/10/2004, 15h54

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo