Discussion :

[Michael Guilloux]

Comme Firefox et Chrome, Microsoft Edge se dote du support de WebAuthn
la norme de sécurité visant à mettre fin aux mots de passe sur le Web

Le 30 juillet, Microsoft a annoncé la prise en charge officielle de la spécification WebAuthn (ou Web Authentication) dans son navigateur Microsoft Edge. Elle a été implémentée dans une build de Windows 10 Redstone 5 livrée quelques jours plus tôt.

Rappelons-le, WebAuthn est une norme de sécurité qui a été développée par le World Wide Web Consortium (W3C) et la FIDO (Fast IDentity Online) Alliance. Publiée fin mars en tant que recommandation W3C (Candidate Recommendation, abrégé CR), WebAuthn permettra à tout site Web ou service en ligne d'utiliser des applications, des clés de sécurité ou des données biométriques comme méthode de connexion plutôt que les mots de passe, ou d'utiliser ces approches alternatives comme deuxième méthode de vérification. Cette norme viserait donc à éliminer la nécessité de saisir des mots de passe, lorsque les utilisateurs se connectent à Internet. Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing, qui ciblent en général les utilisateurs des sites bancaires ou de boutiques en ligne.

La RC de l'API Web Authentication a été prise en charge prise en charge par Mozilla dans Firefox 60 et par Google dans Chrome 67. Et c'est au tour de Microsoft d'en faire autant. En implémentant cette spécification, Microsoft et les autres fournisseurs de navigateur ont un message clair : propulser un Web sans mot de passe. Cela, selon Microsoft, va permettre des expériences utilisateur meilleures et plus sécurisées sur le Web.

« Rester en sécurité sur le web est plus important que jamais. Nous faisons confiance aux sites Web pour traiter les numéros de cartes de crédit, enregistrer des adresses et des informations personnelles, et même pour traiter les dossiers sensibles comme les informations médicales », explique la firme de Redmond. « Toutes ces données sont protégées par un ancien modèle de sécurité : le mot de passe. Mais les mots de passe sont difficiles à mémoriser et sont fondamentalement peu sûrs, souvent réutilisés et vulnérables au phishing et au cracking », ajoute l'entreprise dans un billet de blog.

Avec le support de WebAuthn, Microsoft explique aussi que son implémentation « fournit le support le plus complet pour l'authentification Web à ce jour, avec un support pour une plus grande variété d'authentificateurs que les autres navigateurs. »

En parlant des authentificateurs dans Microsoft Edge, Microsoft cite Windows Hello, son application qui permet de se connecter aux appareils Windows 10 par simple reconnaissance d’iris ou d’empreintes digitales. « Windows Hello permet aux utilisateurs de s'authentifier sans mot de passe sur un périphérique Windows 10, en utilisant la reconnaissance biométrique des visages et des empreintes digitales, ou un code PIN pour se connecter aux sites Web. Grâce à la reconnaissance faciale Windows Hello, les utilisateurs peuvent se connecter en quelques secondes à des sites prenant en charge Web Authentication, avec juste un coup d'œil ». C'est qu'illustre Microsoft avec l'animation suivante.

Mais les utilisateurs de Microsoft Edge pourront également s'authentifier en utilisant des clés de sécurité FIDO2 externes, comme les clés YubiKey entre autres.

Source : Blog Microsoft

Et vous ?

Que pensez-vous du support de WebAuthn par les principaux fournisseurs de navigateur ?
Partagez-vous l'avis selon lequel le mot de passe est un modèle de sécurité obsolète ?

Voir aussi :

Le W3C publie une nouvelle norme d'authentification, qui permet de se connecter de manière sécurisée aux applications Web sans saisir de mots de passe
Windows 10 : Microsoft présente de nouvelles builds dopées au machine learning pour éviter les redémarrages inopportuns, après des mises à jour
Un ingénieur de Mozilla affirme que YouTube est plus lent sur Firefox et Microsoft Edge que sur Google Chrome
Chrome 67 disponible pour Windows, macOS et Linux avec les API Generic Sensor et WebXR Device, ainsi que de nouvelles fonctionnalités de sécurité
Firefox 60 est disponible avec le support de la norme de sécurité WebAuthn, pour Windows, macOS et Linux

[ijk-ref]

Mettre enfin fin aux mots de passe est une très bonne chose. Rendre l'utilisation des clés de sécurités facile et universelle semble une très bonne voie… par contre je ne comprends pas du tout la sécurisation biométrique.


On est bien conscient qu'une clé de sécurité pourra toujours être volée. C'est pourquoi aucune clé ne sera identique quelque soit l'endroit où on va et sera remplaçable si besoin. De plus elles peuvent permettent rester anonyme et sécurisé.


Comment une sécurisation biométrique fait-elle pour avoir une sécurisation différente pour chaque site et être remplacée si besoin, tout en préservant l'identité (si besoin) !?

[tanaka59]

J'ai du mal à voir ce système universalisé pour une simple raison :

* une personne sous tutelle comment fait on par exemple pour accéder a certains services ? (banque , assurance , coffre fort numérique comme digiposte ou doccle )
* une personne décédé pour qui il est nécessaire d'avoir accès à un document électronique (j'ai eu la cas a traiter récemment d'une personne agé décédé dans mon entourage , plus possible d'aller sur le guichet virtuel pour la sécu , la banque , les impots ... )
* une personne qui n'a pas internet
* un moment ou vous n'avez pas l'un de vos terminals pour cause de panne / vol / sinistre / perte
* une usurpation d'identité
* restriction d'accès lors d'un déplacement et ou du contexte (voyage , travail ... )

Bref je doute fortement de la techno comme elle est présenté.

[Itachiaurion]

C'est quoi cette manie a vouloir la mort du mot de passe? Les sécurités biométriques sa se casses, les clefs ça se vole, une double // triple sécurité c'est toujours plus efficace et un mot de passe généré par un gestionnaire libre de mot de passe est une garantie supplémentaire de sécurité. C'est un comble en sécurité se limité a des méthodes d'authentification quand peut multiplier les entraves aux attaquant. Tout cela de toute façon ne sert a pas a grand chose si il y a une attaque man in the middle. L'avantage de mot de passe tel que détaillé c'est que ça se change facilement, on m'expliquera comment on fera pour changer ses empruntes biométriques tout les 3/6/12 mois.
Il y aura toujours des failles, oui en théorie c'est unique mais au bout d'un moment dans la chaîne cela se retrouve sous forme de phrase numérique qui est reproductible. Je ne comprend pas pourquoi l'on pousse des systèmes biométrique qui ne sont pas moins faillible que des mot de passes, Google a t'il tant besoins de nos empruntes? Ou est ce simplement pour faire moderne et sécurisé comme dans les films?

[ijk-ref]

C'est quoi cette manie a vouloir la mort du mot de passe? (…) les clefs ça se vole, une double // triple sécurité c'est toujours plus efficace et un mot de passe généré par un gestionnaire libre de mot de passe est une garantie supplémentaire de sécurité. C'est un comble en sécurité se limité a des méthodes d'authentification quand peut multiplier les entraves aux attaquant. Tout cela de toute façon ne sert a pas a grand chose si il y a une attaque man in the middle. (…)

Etrange ta préférence aux mots de passes aux "clefs"... alors que ces dernières sont aussi des "mots de passes mais dont on ne laisse pas un humain les choisir". Oui les clefs ça se volent… et un mot de passe classique tout autant et même bien plus facilement par d'autres moyens.

[tygerlord]

La sécurité biométrique c'est bullshit, allez vous changer d'œil ou de doigt qd on aura compromis vos données ??? Déjà quand on a utilisé votre identité dans la vie c'est la croix et la bannière pour prouver que c'est pas vous qui a contracté ce PV ou ce crédit... Imaginez expliquer qu'on a utilisé votre empreinte de doigt face aux juges à qui on a vendu la biométrie comme inviolable ??? Le mot de passe obsolète peut être, mais au moins on peut le changer facilement, les juges savent que ca peut être hacké.

[flamwolf]

Tout d'abord j'aimerais bien connaître les statistiques sur les piratages dus à des défauts de mise à jour ou de respect de normes de sécurité simples par les sites webs.
Cela fait trois fois en deux ans que je me vois changer ma carte bleue par ma banque à cause du piratage d'un site d'achat en ligne, mais on refuse de me dire lequel.

Il faudrait très sérieusement pénaliser le non respect des normes de sécurité logiciels et architecture des entreprises prestataires de service en ligne et fixer des niveaux de dommage et intérêt et une obligation de publication en première page avec un bandeau du tiers de l'écran comme cela peut se faire dans la presse.
Seul les atteintes au portefeuille peuvent pousser les entreprises à prendre au sérieux la sécurité de l'information.
Sinon la sécurité n'est qu'un coût sans intérêt.

Ensuite le problème des clés c'est le même que celui des gestionnaires de mot de passe ou de l'usage de la mémorisation des mots de passe par le navigateur.
Il suffit de cracker un mot de passe ou une sécurité pour avoir accès à tout et cela sans même parler des failles ou des systèmes non à jour.

Il n'y a aucun secret le rapport coût/sécurité/ergonomie ne change pas, quand on cherche à améliorer l'ergonomie on réduit le niveau de sécurité en augmentant les coûts et vice versa.

Oui le mot de passe est contraignant mais il vaut mieux un mot de passe contraint, long et complexe qu'un système d'enregistrement de clé.
Je préfère qu'une utilisateur est un mot de passe de 16 caractères choisi aléatoirement par application et qu'il les note sur un carnet en les salants que de le voir utiliser "Eléonore17*" (chiffre incrémenté à chaque obligation de modification du mot de passe) sur tous ses comptes.

On en reparlera dans 5 ans mais je suis ok pour prendre les paris sur celui qui aura eu le moins d'emmer...

[arond]

Etrange ta préférence aux mots de passes aux "clefs"... alors que ces dernières sont aussi des "mots de passes mais dont on ne laisse pas un humain les choisir". Oui les clefs ça se volent… et un mot de passe classique tout autant et même bien plus facilement par d'autres moyens.

Il n'a pas une préférence il te dit que c'est plus pertinent de ne pas utiliser les clefs comme moyen unique d'authentification mais comme deuxième facteur pour te loguer après avoir entré le mot de passe.

[arond]

Il faudrait très sérieusement pénaliser le non respect des normes de sécurité logiciels et architecture des entreprises prestataires de service en ligne et fixer des niveaux de dommage et intérêt et une obligation de publication en première page avec un bandeau du tiers de l'écran comme cela peut se faire dans la presse.
Seul les atteintes au portefeuille peuvent pousser les entreprises à prendre au sérieux la sécurité de l'information.
Sinon la sécurité n'est qu'un coût sans intérêt.

Pour cela il faudrait que les normes soient inscrites dans la loi et le marbre

[Steinvikel]

Mettre fin aux mots de passe n'est clairement pas une bonne chose... mais en réduire son usage systématique, oui !

"WebAuthn permettra à tout site Web ou service en ligne d'utiliser des applications, des clés de sécurité ou des données biométriques comme méthode de connexion plutôt que les mots de passe"
je ne comprend pas non plus la révolution de ce système... la vraie différence avec le mot de passe c'est qu'il n'y a plus d'entrée via le clavier... pour le reste c'est le même principe, à savoir sécuriser le transport d'une suite binaire secrète. C'est ce que font déjà les navigateurs web avec leur gestionnaire de mdp remplissant automatiquement les champs des sites défini par l'utilisateur.
"Le but est de sécuriser l’accès aux applications web, mais également d’empêcher les attaques de phishing, qui ciblent en général les utilisateurs des sites bancaires ou de boutiques en ligne"
Sécuriser l'accès, c'est sécuriser la méthodologie pour communiquer le mdp... pourquoi ne pas également aporter cette amélioration aux mdp saisi manuellement ?

"Microsoft et les autres fournisseurs de navigateur ont un message clair : propulser un Web sans mot de passe."
N'est-ce pas là de la désinformation en jouant sur les mots ? --> le capteur biométrique génère une clé (un mdp) qu'il transmet ensuite comme un mot de passe.

"Toutes ces données sont protégées par un ancien modèle de sécurité : le mot de passe."
et on changerait pour quel modèle ?? --> "Toutes ces données sont protégées par un nouveau modèle de sécurité : la signature biométrique."
...bravo =,='

"Mais les mots de passe sont difficiles à mémoriser et sont fondamentalement peu sûrs, souvent réutilisés et vulnérables au phishing et au cracking"
La clé, question mémorisation et réutilisation c'est encore pire... mais à part accident particulier, on ne risque pas de l'oublier.
Quand au phishing, ça déplace le problème, la cible n'est plus sur l'humain, mais sur l'appli. On augmente la sécurité ? ok, on éradique les failles ? bullshit !
Il suffit de voir les différent problème rencontré avec les certificats sur le web...
Quand à la sûreté et vulnérabilité au cracking, c'est comme tout, s'il n'y a pas d'éducation sur un outil, il est mal utilisé, inefficace, voir contre-productif.
--> combien pensent qu'un mot de passe à 10 lettres comprenant 1 chiffre et 1 symbole est mieux sécurisé qu'une phrase de 20-30 lettres sans caractères spéciaux (symboles) ni chiffres.
ex : "encore un mot de passe chiant" >> 29 lettres >> environ 10^50 combinaisons
ex: "mon mdp °1" >> 10 lettres >> environ 10^20 combinaisons
... un facteur de 30 zéros !! 0,0' -> mille milliards de milliards de milliards
Le problème majeur sur les mots de passe c'est 1) la faiblesse de la maitrise (connaissance) de cet outil par la majorité de la population, 2) trop de site limite la tailles des mdp à un nombre trop court, induisant l'usage de chiffres et caractères spéciaux, rendant le mdp difficile à retenir pour beaucoup.


Sauf erreur de ma part, un mot de passe peut être corrompu si :
- il est utilisé sur le mauvais site (et enregistré par ce dernier)
- il est intercepté lors de son utilisation
- il est récupéré à posteriori (trace sur l'écran/clavier, gestionnaire de mots de passe peu sécurisé, observé par un tiers...)
- le service auquel il donne accès est lui-même déjà corrompu

Ca ne change pas pour WebAuthn, ca renforce simplement le 1 et le 3

Une signature biométrique est différente d'un appareil à l'autre, mais est unique pour l'ensemble de l’appareil en question. Le système de mdp sera donc tjr nécessaire.

comme exprimé ds les précédents commentaires, si ça apporte bien des facilités, ça ne reste pas moins faillible, et apportes également son lot de difficulté > en cas d'accident, comment récupérer l'accès au périphérique/service (dans un délais raisonnable) ?, comment "changer" sa clé biométrique ?... pourquoi le stockage d'un mdp serait moins sécurisé qu'une clé biométrique ? (la question centrale du sujet non ?) x)

[Neckara]

On est bien conscient qu'une clé de sécurité pourra toujours être volée. C'est pourquoi aucune clé ne sera identique quelque soit l'endroit où on va et sera remplaçable si besoin. De plus elles peuvent permettent rester anonyme et sécurisé.

Comment une sécurisation biométrique fait-elle pour avoir une sécurisation différente pour chaque site et être remplacée si besoin, tout en préservant l'identité (si besoin) !?

La sécurité biométrique c'est bullshit, allez vous changer d'œil ou de doigt qd on aura compromis vos données ??? Déjà quand on a utilisé votre identité dans la vie c'est la croix et la bannière pour prouver que c'est pas vous qui a contracté ce PV ou ce crédit... Imaginez expliquer qu'on a utilisé votre empreinte de doigt face aux juges à qui on a vendu la biométrie comme inviolable ??? Le mot de passe obsolète peut être, mais au moins on peut le changer facilement, les juges savent que ca peut être hacké.

Pour les données biométriques on peut utiliser des formes de hachage mous diversifiés par une clé.
Ainsi le renouvellement se fait par le changement de la clé, et la seule connaissance du hash ne permet pas d'en déduire la donnée biométrique dont elle est issue.

De manière générale, l'authentification n'est pas faite côté serveur, mais côté client. La donnée biométrique servant à déverrouiller une clé, qui elle sera utilisée pour l'authentification.

[tanaka59]

J'ajouterai même que le système biométrique est clairement discriminatoire envers les personnes handicapés. Un déficient visuel ne pourrait pas bénéficier de la reconnaissance oculaire. Suite à un accident on perd un doigt , une main , un bras ... on ne peut plus accéder à notre périphérique numérique ?

A moins d'essayer avec le gros orteil

[arond]

J'ajouterai même que le système biométrique est clairement discriminatoire envers les personnes handicapés. Un déficient visuel ne pourrait pas bénéficier de la reconnaissance oculaire. Suite à un accident on perd un doigt , une main , un bras ... on ne peut plus accéder à notre périphérique numérique ?

A moins d'essayer avec le gros orteil

[troll]
En temps que personne déficiente visuel je ne vois pas pourquoi la reconnaissance oculaire ne marcherais pas (bas oui y a des maladie qui touchent que le nerf optique )
[/troll]

+1 Oui effectivement qu'est ce qu'il se passe si le mec se fait couper la main pour des raisons diverses et variés ? ou mal formé ou les deux ?

[Neckara]

J'ajouterai même que le système biométrique est clairement discriminatoire envers les personnes handicapés. Un déficient visuel ne pourrait pas bénéficier de la reconnaissance oculaire. Suite à un accident on perd un doigt , une main , un bras ... on ne peut plus accéder à notre périphérique numérique ?

A moins d'essayer avec le gros orteil

[troll]
En temps que personne déficiente visuel je ne vois pas pourquoi la reconnaissance oculaire ne marcherais pas (bas oui y a des maladie qui touchent que le nerf optique )
[/troll]

+1 Oui effectivement qu'est ce qu'il se passe si le mec se fait couper la main pour des raisons diverses et variés ? ou mal formé ou les deux ?

Il y a généralement des fallbacks prévus dans ce genre de circonstances.

[tygerlord]

Non non il n'y a pas de fallback possible, si on vous copie l'empreinte d'un doigt ( il suffit d'une photo en HD postée sur les réseaux sociaux) vous pouvez plus utiliser cette empreinte ...

[Neckara]

Non non il n'y a pas de fallback possible, si on vous copie l'empreinte d'un doigt ( il suffit d'une photo en HD postée sur les réseaux sociaux) vous pouvez plus utiliser cette empreinte ...

Un fallback, c'est utiliser une autre modalité… e.g. un mot de passe, un code envoyé via e-mail/SMS, la reconnaissance du navigateur/localisation, une autre modalité biométrique, etc.

[tygerlord]

Le problème n'est pas l'accès aux données mais comment préserver ces mêmes données d'un tiers qui aurait usurpé vos données biométriques certe on peut invalider une empreinte par ex, mais dans ce cas comme je disais c'est une empreinte corrompue inutilisable, c'est en ce sens que je dis qu'il n'y a pas de fallback possible. C'est la même problèmatique qu'un adn sur une scène de crime qu'on aurait déposé intentionnellement...

[Neckara]

Le problème n'est pas l'accès aux données mais comment préserver ces mêmes données d'un tiers qui aurais usurpé vos données biométriques certe on peut invalider une empreinte par ex, mais dans ce cas comme je disais c'est une empreinte corrompue inutilisable, c'est en ce sens que je dis qu'il n'y a pas de fallback possible.

Ce n'est pas un problème de "fallback" mais de "renouvellement".

Problème qui ne se pose pas si on peut diversifier via une clé.

[tygerlord]

Ce n'est pas un problème de "fallback" mais de "renouvellement".

Problème qui ne se pose pas si on peut diversifier via une clé.

Je vous pas en quoi la diversification de clé vous sauve d'un vol d'identité biométrique... Une empreinte corrompue est et reste corrompue à vie...


D'autre part si il y a des fallbacks comme vous dîtes, ça limite sérieusement l'intérêt du biométrique puisque les failles actuelles restent presentes dans ces systèmes de fallback...

[Neckara]

Je vous pas en quoi la diversification de clé vous sauve d'un vol d'identité biométrique... Une empreinte corrompue est et reste corrompue à vie...

Sans connaître la clé associée, l'empreinte seule ne sert à rien.

D'autre part si il y a des fallbacks comme vous dîtes, ça limite sérieusement l'intérêt du biométrique puisque les failles actuelles restent presentes dans ces systèmes de fallback...

Les fallbacks peuvent être plus "coûteux" pour l'utilisateur, avec une procédure plus longue, et potentiellement des alertes remontées à l'utilisateur et au système.