Discussion :

[Michael Guilloux]

Le W3C travaille sur une norme d’authentification forte pour les navigateurs
pour sécuriser l'accès aux applications web et empêcher le phishing

Dans le contexte de sécurité actuel animé par les vols de mots de passe et fuites de données, le groupe de travail Web Authentication (WebAuthn) du W3C a publié un draft sur la spécification d’une norme d’authentification forte pour les différentes plateformes de navigateur. Pour rappel, le World Wide Web Consortium (W3C) est un organisme international de normalisation à but non lucratif, chargé de promouvoir la compatibilité des technologies du World Wide Web telles que HTML5. Ses travaux sont reconnus pour être en général adoptés par les principaux fournisseurs de navigateurs web. En ce qui concerne le groupe de travail WebAuthn, sa mission consiste à mettre en place une norme d’authentification forte pour les navigateurs. En sécurité des systèmes d'information, une authentification forte est une procédure d'identification qui requiert la concaténation d'au moins deux facteurs d'authentification.

C’est de manière discrète que le WebAuthn a publié en fin mai, le premier draft d’une norme qui vise à ajouter des contrôles cryptographiques à l’authentification sur les différents navigateurs web. Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing. Ciblant en général les utilisateurs des sites bancaires ou de boutiques en ligne, les attaques de phishing consistent à mettre en place de faux sites qui ressemblent à des sites légitimes, avec pour but d’inciter les internautes à saisir leur nom d'utilisateur et leur mot de passe, ou toute autre information privée.

Comme l’explique le groupe de travail sur sa page d’accueil, il s’agit d’une « étape importante pour rendre disponible sur le web une authentification préservant la confidentialité et non exposée aux attaques de phishing, et pour réduire la dépendance vis-à-vis des mots de passe ». Cette norme viserait donc à supprimer le besoin de saisir des mots de passe. L’utilisateur se connecte en effet à ses sites ou applications web grâce à une méthode basée sur un authentificateur qui peut être un smartphone ou un jeton d’identification (clé USB de sécurité, carte à puce, etc.).

L’utilisateur va enregistrer des identifiants cryptographiques uniques pour chacun des sites et applications web auxquels il a l'habitude de se connecter. Ces identifiants sont enregistrés sur l’identificateur dont l’utilisateur va ensuite se servir pour autoriser les opérations telles que la connexion. « Les authentificateurs sont responsables de veiller à ce qu’aucune opération ne soit effectuée sans le consentement de l'utilisateur », est-il précisé dans le draft. La confidentialité est également assurée dans la mesure où l'utilisateur est en contrôle de ses informations d'identification et clés cryptographiques. Un agent utilisateur gère l'accès aux informations d'identification afin de préserver la confidentialité des utilisateurs.

À travers ce premier draft, le W3C envoie un signal aux développeurs pour examiner la spécification d’authentification web. Ces derniers sont surtout invités à faire des recommandations sur l’implémentation et l’utilisation de cette nouvelle norme.

Sources : Groupe de travail Web Authentication, Premier draft de la norme d’authentification

Et vous ?

Que pensez-vous de cette norme d’authentification pour les navigateurs web ?

Voir aussi :

Le W3C a commencé à travailler sur la spécification de HTML 5.1, et donne la possibilité aux parties tierces de faire des suggestions sur GitHub

[Invité]

Le protocole TLS n'est-il pas fait pour ça ? Il permet d'authentifier les utilisateurs, non pas sur la base d'un couple utilisateur/mdp mais sur la génération d'un certificat, validé côté serveur.

Après, pour réellement avoir de la sécurité il faudrait commencer par avoir des listes de certificats autorisés, plutôt que des arborescences de CAs opaques et qui peuvent signer tout et n'importe quoi.

[gretro]

Oui et non. Les certificats sont une bonne idée, mais comme tu dis, ils reposent sur des distributeurs de certificats qui sont reconnus pour avoir livrer des certificats valides à de mauvaises personnes pour les mauvaises raisons. Mais même en ne tenant pas compte de cela, il y a le problème que monsieur-madame tout le monde ne sait toujours pas ce qu'est un certificat, ne savent pas en installer un et que l'on accède de plus en plus à des services à l'aide de divers appareils (sur lesquels il faudrait alors tous avoir installé le certificat en question). Je pense qu'une authentification à deux facteurs est une bonne idée.

Mais la vraie question est: Pourquoi a-t-on besoin de cette norme du W3C alors que c'est déjà implémenté et largement répandu chez les géants du Web? Je ne pense pas que ce soit si compliqué d'utiliser ce genre de service de nos jours, et cela doit pouvoir se faire à l'aide d'API qui n'ont pas nécessairement à être standards. Reste que mon identificateur favoris reste quand même celui de Microsoft qui demande seulement d'autoriser ou pas une connexion sans avoir à entrer un code de vérification. C'est plutôt facile et cool.

[marsupial]

Excusez si je me marre

Mauvais copieur Microsoft et pas sur car la NSA met des backdoors dans vos algorithmes.

[Michael Guilloux]

WebAuthn : le W3C publie une nouvelle norme d'authentification
qui permet de se connecter aux sites et applications Web sans saisir de mots de passe

Les mots de passe ont toujours été parmi les principaux points faibles de la sécurité des utilisateurs en ligne. Un mot de passe volé par un hacker peut être utilisé par ce dernier pour essayer de se connecter à d'autres comptes de sa victime. Vu que les utilisateurs peuvent avoir à gérer de nombreux comptes en ligne, certains n'hésitent pas réutiliser le même mot de passe sur plusieurs sites pour éviter de se retrouver dans l'impossibilité d'accéder à l'un des comptes, après avoir oublié son mot de passe. Et c'est une faiblesse que cherchent très souvent à exploiter les hackers.

Malheureusement, on a assisté ces dernières années à de nombreuses violations de sécurité qui ont touché des sites populaires et réseaux sociaux. De grosses bases de données contenant des mots de passe et autres données personnelles se sont donc retrouvées sur le marché noir et entre les mains d'acteurs malveillants.

Dans un contexte de sécurité animé par les vols de mots de passe et fuites de données, en mai 2016, le groupe de travail Web Authentication (WebAuthn) du W3C et la FIDO (Fast IDentity Online) Alliance ont publié un draft sur la spécification d’une norme d’authentification pour les différents de navigateur. La norme, appelée WebAuthn, permettra à tout site Web ou service en ligne d'utiliser des applications, des clés de sécurité ou des données biométriques comme méthode de connexion plutôt que les mots de passe, ou d'utiliser ces approches alternatives comme deuxième méthode de vérification. Cette norme viserait donc à éliminer la nécessité de saisir des mots de passe, lorsque les utilisateurs se connectent à Internet. Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing, qui ciblent en général les utilisateurs des sites bancaires ou de boutiques en ligne.

WebAuthn vient d'être publié en tant que recommandation W3C, l'étape finale du processus de ratification par le World Wide Web Consortium (W3C), et est donc officiellement une norme. Cela veut dire que le standard a bénéficié d'une revue et de tests extensifs, sur des considérations à la fois théoriques et pratiques. Il est donc soutenu par le W3C comme un standard pouvant être largement déployé dans son domaine.

« Cette spécification définit une API permettant la création et l'utilisation d'informations d'identification basées sur des clés publiques fortes et attestées par des applications Web, dans le but d'authentifier fortement les utilisateurs », peut-on lire sur le site du W3C. « Conceptuellement, une ou plusieurs informations d'identification de clé publique sont créées et stockées sur un authentificateur par l'agent utilisateur en conjonction avec l'application Web. L'agent utilisateur gère l'accès aux informations d'identification de clé publique afin de préserver la confidentialité des utilisateurs. » Et « les authentificateurs sont responsables de s'assurer qu'aucune opération n'est effectuée sans le consentement de l'utilisateur. » La spécification décrit également le modèle fonctionnel des authentificateurs conformes à la norme WebAuthn.

Le support de WebAuthn est déjà ajouté dans Firefox. La norme sera également déployée sur Microsoft Edge et Google Chrome dans les mois à venir. « Nous ne pouvons pas partager de détails sur les délais [pour la prise en charge de WebAuthn] à ce stade », a expliqué Christiaan Brand, chef de produit, Identité et Sécurité chez Google. Mais « Chrome prend en charge les initiatives FIDO et WebAuthn et nous espérons voir un support plus tard en 2018 », a-t-il dit dans un email envoyé à Vice Media. Microsoft, pour sa part, dit être « entièrement engagé à ajouter le support de WebAuthn dans Edge. » Opera s'est également engagé à supporter la norme.

Sources : W3C, Vice

Et vous ?

Que pensez-vous de cette nouvelle norme ?
Quels sont ses avantages et inconvénients ?

[MikeRowSoft]

Registration and Authentication : C'est une alternative méthodique à celle de certaines applications de " messagerie instantanée "...

[rambc]

Que faire si ma "donnée" biométrique est piratée ? Un code est facile à changer, une "donnée" biométrique beaucoup moins...

[byrautor]

Quelle pagaille !

[Cyrilh7]

Le protocole TLS n'est-il pas fait pour ça ? Il permet d'authentifier les utilisateurs, non pas sur la base d'un couple utilisateur/mdp mais sur la génération d'un certificat, validé côté serveur.

Je pense que tu veux parler d'authentification mutuelle (avec certificat client). Attention, TLS n'est pas souvent utiliser comme cela, car cela impose au client d'avoir obtenu au préalable un certificat, de gèrer le renouvellement de celui-ci, et si le client utilise plusieurs machines, ça devient un calvaire...

Après, pour réellement avoir de la sécurité il faudrait commencer par avoir des listes de certificats autorisés, plutôt que des arborescences de CAs opaques et qui peuvent signer tout et n'importe quoi.

Libres à toi de supprimer les CA auxquels tu ne fait pas confiance de ton magasin de certificat.... De même tu peux génèrer ta propre CA (même si dans ce cas, ça complique un peu plus la chose...)

[dasdeb]

Cyrilh7, c'est ce que j'utilise pour faire de mon serveur mail un relais privé.
J'ai créé un certificat que Postfix utilise pour me reconnaître et que j'ai dans thunderbird.

Pour s'identifier avec un site, c'est plus dangereux par contre.
Un membre s'enregistre (couple identifiant/mot de passe) et reçoit un certificat.
S'il va sur un autre ordi, il doit utiliser le couple identifiant/mot de passe et reçoit le même certificat.
Le problème est s'il utilise l'ordi d'une autre personne. Celle-ci dispose alors du certificat...
Il faudrait alors pouvoir obtenir un certificat provisoire, mais comme ce serait à l'utilisateur de le demander il y aura forcément des oublis.
Alors, se baser sur l'adresse IP, sur l'adresse MAC ?
Ou demander systématiquement dès qu'une identification par ID/MdP est nécessaire ?

[Michael Guilloux]

WebAuthn : le W3C et l'Alliance FIDO finalisent la norme pour les connexions sans mot de passe
et appellent les services Web et entreprises à l'adopter

« Le moment est venu pour les services Web et les entreprises d'adopter WebAuthn pour déjouer la vulnérabilité des mots de passe et améliorer la sécurité des expériences en ligne des utilisateurs du Web », a déclaré Jeff Jaffe. C'est par ces mots que celui qui est le PDG du W3C a commenté l'aboutissement d'un effort visant à mettre fin aux mots de passe. Le 4 mars, le W3C (organisme de normalisation des technologies du Web) et l'Alliance FIDO (qui travaille d’arrache-pied pour fournir une authentification plus simple et plus robuste pour remplacer les mots de passe) ont annoncé avoir finalisé le standard WebAuthn pour des connexions sécurisées et sans mot de passe.

Pour information, c'est un contexte de sécurité animé par les vols de mots de passe et fuites de données qu'en mai 2016, le groupe de travail Web Authentication (WebAuthn) du W3C et l'Alliance FIDO (Fast IDentity Online) ont publié un draft sur la spécification d’une norme d’authentification pour les différents navigateurs : la norme WebAuthn. Son objectif est de permettre à tout site Web ou service en ligne d'utiliser des applications, des clés de sécurité ou des données biométriques comme méthode de connexion plutôt que les mots de passe, ou d'utiliser ces approches alternatives comme deuxième méthode de vérification. Cette norme vise donc à éliminer la nécessité de saisir des mots de passe, lorsque les utilisateurs se connectent à Internet ; le but étant de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing, qui ciblent en général les utilisateurs des sites bancaires ou de boutiques en ligne. WebAuthn a été publié en avril dernier en tant que recommandation W3C, l'étape finale du processus de ratification par le World Wide Web Consortium (W3C).

Le 4 mars 2019, le World Wide Web Consortium (W3C) et l'Alliance FIDO ont annoncé que la spécification Web Authentication (WebAuthn) est désormais un standard Web officiel, ce qu'ils considèrent comme une étape majeure pour rendre le Web plus sûr et plus utilisable par les utilisateurs du monde entier. Ils appellent donc les plateformes en ligne à adopter ce nouveau standard. « Les services et applications Web peuvent — et devraient — activer cette fonctionnalité pour donner à leurs utilisateurs la possibilité de se connecter plus facilement via la biométrie, les appareils mobiles ou les clés de sécurité FIDO, avec une sécurité bien supérieure à celle des seuls mots de passe », lit-on dans le communiqué conjoint du W3C et l'alliance FIDO.

Les mots de passe selon le W3C et l'Alliance FIDO : vulnérables, source de perte de temps et d'argent pour les entreprises

Citant une étude de 2017 de Verizon sur les violations de sécurité, le W3C et l'Alliance FIDO expliquent qu'il est aujourd’hui établi que les mots de passe ont perdu leur efficacité. Les mots de passe par défaut, faibles ou volés sont non seulement à l'origine de 81 % des violations de données, mais en plus ils créent une perte de temps et de moyens. Faisant aussi référence à une récente étude du fournisseur de clés de sécurité Yubico, ils affirment encore que les utilisateurs consacrent 10,9 heures par an à la saisie ou à la réinitialisation de mots de passe, ce qui coûte en moyenne 5,2 millions de dollars par an aux entreprises.

Ils regrettent également que si les solutions traditionnelles d'authentification multifacteurs (MFA) tels que les codes ponctuels reçus par SMS ajoutent une couche de sécurité supplémentaire, elles restent néanmoins vulnérables aux attaques par hameçonnage. En plus, elles ne sont pas simples d'utilisation, et souffrent d'un faible taux d'adoption. D'où la nécessité de passer à FIDO2 et WebAuthn.

FIDO2 et WebAuthn : une solution au problème des mots de passe

Pour information, FIDO2 rassemble la spécification Web Authentication du W3C ainsi que le protocole CTAP (Client-to-Authenticator Protocol) de l'Alliance FIDO. À travers FIDO2 et WebAuthn, les deux organisations estiment que la communauté technologique mondiale a élaboré une solution commune au problème commun des mots de passe : une solution ergonomique contre le vol de mots de passe, le hameçonnage, et les attaques par « rejeu » (une attaque de type Homme du milieu). FIDO2 résoudrait en effet tous les problèmes associés à l'authentification traditionnelle, comme cela est expliqué dans le communiqué du W3C et l'alliance FIDO :

• sécurité : les identifiants de connexion cryptographiques FIDO2 sont uniques sur chaque site Web et aucune information biométrique ou autre secret tel que les mots de passe ne quittent le terminal de l'utilisateur ou ne sont stockés sur un serveur. Ce modèle de sécurité élimine tout risque de hameçonnage, toutes formes de vol de mots de passe, et les attaques par « rejeu » ;
• commodité : les utilisateurs se connectent avec des méthodes pratiques telles que les lecteurs d'empreintes digitales, les appareils photo, les clés de sécurité FIDO ou leur appareil mobile ;
• confidentialité : les clés FIDO étant uniques pour chaque site Internet, elles ne peuvent pas être utilisées pour vous suivre à travers les sites ;
• évolutivité : les sites Web peuvent activer FIDO2 par simple appel API sur tous navigateurs et toutes plateformes équipés.

Précisons que le standard WebAuthn est déjà pris en charge dans Windows 10 et Android, ainsi que les navigateurs web Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari (en préversion). Cela montre que son adoption est sur la bonne voie. L'Alliance FIDO a également lancé un programme de certification pour les fournisseurs prêts à déployer le standard sur leurs navigateurs ou plateformes. Ce qui pourra accélérer la fin des mots de passe.

Source : W3C

Et vous ?

Avec la finalisation de la norme WebAuthn et les avantages évoqués, pensez-vous qu'il y ait encore une raison valable d'utiliser les mots de passe ?
Ou faites-vous partie de ceux qui pensent que les mots de passe, lorsqu'ils respectent de bonnes règles de sécurité, sont des moyens d'authentification très surs ?

Voir aussi :

Avec les normes d'authentification FIDO2 intégrées à Android 7.0+, les utilisateurs pourront s'affranchir des MdP sur leurs applications et sites
La plupart des gestionnaires de mots de passe populaires présentent des vulnérabilités pouvant entraîner le vol de mots de passe, selon un rapport
Une solution d'authentification propose aux développeurs d'implémenter WebAuthn, mais elle nécessite une clé de sécurité USB pour fonctionner
Les clés de sécurité physiques Titan de Google sont fabriquées par une entreprise chinoise, ce qui inquiète des experts du domaine
Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google

[walfrat]

les utilisateurs se connectent avec des méthodes pratiques telles que les lecteurs d'empreintes digitales, les appareils photo, les clés de sécurité FIDO ou leur appareil mobile ;

Sauf erreur de ma part, il a déjà été démontré que bien des appareils de reconnaissances peuvent être trompé via des photos. En outre si on utilise nos données biométriques, il y a forcément un moment où on peut nous les voler.
On fait quoi une fois qu'elles sont volés ? On va se faire défigurer chez un chirurgien ?

Il reste les clés de sécurité, là au moins je pense qu'on peut aller quelque part.

Mais tout ce qui touche à la reconnaissance d'empreintes et faciales, ça a déjà été trop démonté alors que ce n'est même pas aussi répandu que les mots de passe.

[Bardotj]

Donc si je résume :

Pour information, c'est un contexte de sécurité animé par les vols de mots de passe et fuites de données qu'en mai 2016 => incompétence ou erreur humaine, rien a voir avec les mots de passes

pour donner à leurs utilisateurs la possibilité de se connecter plus facilement via la biométrie, les appareils mobiles ou les clés de sécurité FIDO, avec une sécurité bien supérieure à celle des seuls mots de passe => on pourrait avoir des métriques pertinentes ?
Là pour moi les deux sont deux choses différentes avec des implications différentes.

Faisant aussi référence à une récente étude du fournisseur de clés de sécurité Yubico, ils affirment encore que les utilisateurs consacrent 10,9 heures par an à la saisie ou à la réinitialisation de mots de passe, ce qui coûte en moyenne 5,2 millions de dollars par an aux entreprises. => en général un vendeur de solution est tout sauf impartial.

sécurité : les identifiants de connexion cryptographiques FIDO2 sont uniques sur chaque site Web et aucune information biométrique ou autre secret tel que les mots de passe ne quittent le terminal de l'utilisateur ou ne sont stockés sur un serveur. Ce modèle de sécurité élimine tout risque de hameçonnage, toutes formes de vol de mots de passe, et les attaques par « rejeu » ; => cela n’empéche pas les attaques par qui bypass le rejeu

commodité : les utilisateurs se connectent avec des méthodes pratiques telles que les lecteurs d'empreintes digitales, les appareils photo, les clés de sécurité FIDO ou leur appareil mobile ;
confidentialité : les clés FIDO étant uniques pour chaque site Internet, elles ne peuvent pas être utilisées pour vous suivre à travers les sites ; => quid du tracking a travers les devices ? Quid des gens qui ne peuvent, non pas acces a ce type de device ?

Mon avis est que c’est une mauvaise réponse a un vrai probléme, plus d’éducation et de sensibilisation.

[patrick72]

Généraliser le "faceid" ? on a déjà vue le résultat avec la pomme ! et pour les lecteur d’empreintes digitales.... ben heureusement qu'il y un code PIN en deuxième solution !

Le problème, c'est pas les mot de passe, c'est juste :
- Sa saisie dans le cas de la présence d'un trojen
- Le système de vérification qui autorise souvent plusieurs centaines de d'essais en moins d'une secondes !
- La sécurité coté serveur.

Le boitier biométrique qui fonctionne comme les puce des cartes bleu, j'y crois pas. on a déjà l'exemple des "yes-card". Il faut donc un système qui donne une information validable par le serveur : on en revient donc au principe des mots de passe... (avec les mêmes vulnérabilités)

pour moi, y'a pas de solution miracle !

[bsadacheng]

cette folie vise seulement à collecter toutes les données biométriques possibles
pour la sois disant sécurité en fait la surveillance des populations

[miky55]

Hmmmmmm La disparition des mots de passes pour les remplacer par une authentification biométrique c'est tellement hilarant

Quelle que soit la technologie utilisée, même si les données biométriques ne quittent pas le terminal et ne sont pas stockés en serveur, elles sont en libre accès à toute personne ayant la possibilité de nous approcher et surtout sont irrévocables (b a ba de la mauvaise pratique en sécurité)

Je n'ai pas l'habitude d’être conspirationniste, mais soit les pseudos experts qui se sont penchés sur cette question sont complètements incompétents, soit ils sont subventionnés par des gouvernements: plus besoin du consentement des suspects pour accéder à leurs comptes, il suffit de leur mettre un terminal devant la gueule

Bref je ne pense pas qu'il y ai un réel débat à ce sujet au sein des gens qui on un minimum conscience de ce qu'est la sécurité. Les mots de passe ont certes des limites, mais restes de loin supérieur à l'utilisation de la biométrie...

[miky55]

cette folie vise seulement à collecter toutes les données biométriques possibles
pour la sois disant sécurité en fait la surveillance des populations

En fait même pas besoin, le protocole peut être totalement open source et sans backdoor. La faille réside déjà dans la conception: récolter des informations biométrique à l'insu d'une personne est tellement plus aisée pour un état que le brute force d'un mdp chiffré... D'ailleurs avec la généralisation des passeports biométriques les états ont déjà de quoi alimenter de bonnes grosses bases...

[Edrixal]

Avec la finalisation de la norme WebAuthn et les avantages évoqués, pensez-vous qu'il y ait encore une raison valable d'utiliser les mots de passe ?

Y'aura toujours une raison valable. Tout ne peut pas fonctionner avec cette norme. Enfin je suppose ? Parce que ça demande un peu de matos coter client malgré tout.

Ou faites-vous partie de ceux qui pensent que les mots de passe, lorsqu'ils respectent de bonnes règles de sécurité, sont des moyens d'authentification très surs ?

Y'a plusieurs études qui montre que les mots de passe sont tous plus ou moins fragile. La seule certitude c'est que plus le mot de passe est long, plus il sera sur. Sauf qu'une bonne partie des applications/site, limite la taille des mots de passes...
Alors bon...

PS : Les gars qui crient au complot sur les données biométriques, apprenez à ne pas bloquer sur un mot au milieu d'une phrase. Si le principe ne fonctionné que par biométrie, je serait moi aussi contre, mais y'a d'autre manière de l'utiliser. A vous de choisir après.

« Les services et applications Web peuvent — et devraient — activer cette fonctionnalité pour donner à leurs utilisateurs la possibilité de se connecter plus facilement via la biométrie, les appareils mobiles ou les clés de sécurité FIDO, avec une sécurité bien supérieure à celle des seuls mots de passe », lit-on dans le communiqué conjoint du W3C et l'alliance FIDO.

[singman]

Wouah, impressionnant tous ces commentaires de gens qui pensent que "biométrie" = "FaceID". Ca mériterait amplement que vous vous documentiez avant de répondre des pages et des pages d'âneries...