Le W3C a décidé de s’attaquer à l’authentification sur le web. Il vient de former un nouveau groupe de travail centré sur cette thématique et prépare un nouveau standard, basé en bonne partie sur la version 2.0 des API FIDO.
Le World Wide Web Consortium (W3C) veut en finir avec les problèmes d’authentification sur le web, avec en ligne de mire un point bien particulier : les mots de passe. Le W3C aimerait s’en débarrasser si possible, car ils comportent de très nombreuses lacunes, sans même parler du souci principal, à savoir leur création.
Un groupe de travail pour se débarrasser des mots de passe
À de très nombreuses reprises, nous avons abordé la fragilité de cette protection qui n’est souvent pas prise au sérieux par les utilisateurs. Beaucoup se servent d’un même mot de passe pour plusieurs sites, créant une carence manifeste en sécurité pour la protection des données. Couplée à une trop courte réflexion pour leur création, ces mots de passe faibles sont un danger pour la toile : facilement devinables, ils déverrouillent d’un coup plusieurs sites, les utilisateurs les associant la plupart du temps à la même adresse email ou au même pseudonyme.
Ce qu’aimerait le W3C, c’est remplacer cette protection par d’autres. Il est conscient cependant que non seulement c’est impossible en l’état, mais que les alternatives doivent bénéficier du même traitement pour être réellement considérées. Un groupe de travail a donc été créé pour réfléchir à cette problématique. Le Web Authentication Working Group (WAWG) dispose d’ailleurs déjà d’une solide piste sur la direction à prendre.
Au cœur de la future recommandation, les API FIDO 2.0
Il va en effet se fonder sur les API FIDO 2.0, justement proposées par l’alliance FIDO (Fast IDentity Online) pour standardisation. L’objectif global de ces API est de permettre à différentes méthodes d’authentification d’être traitées de la même manière. Pour donner un exemple, la fonctionnalité Windows Hello dans Windows 10, qui permet de s’authentifier avec la webcam, pourrait être reprise et utilisée pour les sites web. En fait, la plupart des fonctionnalités de ce type dans le système sont déjà compatibles avec la version 1.0 des API FIDO.
La version 2.0 généralise l’idée et permet de créer une interface large de connexion dans laquelle les méthodes d’authentification compatibles sont toutes traitées de la manière. Reprise par le WAWG, l’API permettrait alors aux utilisateurs de choisir la méthode qui leur convient, à condition bien sûr que les sites visités soient compatibles avec le standard. Brett McDowell, directeur de l’alliance FIDO, se réjouit évidemment : « Notre mission est de révolutionner l’authentification sur le web à travers le développement et l’adoption globale de spécifications techniques qui supplanteront la dépendance mondiale aux mots de passe avec une authentification forte et interopérable. Avec l’acceptation par le W3C de notre contribution et la création de ce groupe de travail, nous sommes clairement en route vers l’accomplissement de cette mission ».
Un travail qui influera sur d'autres projets
Du côté du W3C, c’est Tim Berners-Lee en personne qui a fait l’annonce du début des travaux. Il manque cependant pour l’instant une information cruciale : le calendrier. Aucune date n’a été fournie pour un premier brouillon de la future recommandation. On sait cependant que le travail effectué aura des répercussions sur la WebCrypto API, qui est elle-même candidate à la recommandation. Idem pour WebAppSec, qui prépare notamment un lot d’améliorations pour l’expérience de connexion via HTTPS.
Notez que les méthodes de connexion sécurisée sans mot de passe existent depuis longtemps. Leur nombre ne cesse même de croitre avec le temps. Cependant, elles requièrent souvent du matériel supplémentaire. Il peut s’agir d’une validation à effectuer sur un smartphone, d’une clé USB ou encore d’une carte. Si les utilisateurs pouvaient exploiter certains capteurs sur leur propre ordinateur, comme une webcam ou un lecteur d’empreintes digitales, pour se connecter aux sites web, le mot de passe pourrait effectivement reculer. Cela étant, il ne faut pas oublier que des méthodes de secours devraient quand même être mises en place pour ne pas bloquer l’internaute s’il n’a plus ces équipements sous la main.
Commentaires (67)
#1
Oh ben non, on vient de s’échanger 260 message pour savoir quel gestionnaire de mot de passe a la plus grosse bistouquette, et là, paf ! on nous dit que ça sert pus à rien…
#2
https://images.duckduckgo.com/iu/?u=http%3A%2F%2Fwww.bedetheque.com%2Fmedia%2FCouvertures%2Fradada02.jpg&f=1
#3
oui enfin tous ce que j’espère c’est qu’ils n’en profiterons pas pour créer un system bien propriétaire (genre les drm adobe), qui permettera de tracé n’importe qui par son nouveau system de sécurité.
Sans oublier d’une eventuelle salloperie a moitier payante.
j’espère jusque qu’il tiendrons leur promesse et ne feront pas de la merde comme dab.
#4
il ne faut pas oublier que des méthodes de secours devraient quand même être mises en place pour ne pas bloquer l’internaute s’il n’a plus ces équipements sous la main.
Donc, un mot de passe?
Ca risque de ressembler à:
#5
Je propose reconnaissance faciale + token (authenticator) + code pin + chant de la Marseillaise.
La le système envoi un sms de confirmation avec un lien qui redirige vers un fichier sonore à faire écouter au PC.
En cas de problème il suffit d’envoyer un FAX à l’organisme de gestion qui répondra sous 48h par lettre recommandée.
#6
En espérant que ca soit du style WebCrypto et cie, avec un bon framework on pourrait enfin utiliser facilement l’authentification par certificat client SSL
#7
#8
Je suis contre toute forme d’authentification biométrique pour les services reposant sur Internet (sites, applications…).
#9
Rien de plus flippant que des systèmes de reconnaissance-authentification biométrique ou anthropométrique connectés aux interwebz.
Fly, you fools!
#10
Si les utilisateurs pouvaient exploiter certains capteurs sur leur propre ordinateur, comme une webcam ou un lecteur d’empreintes digitales
Quand Apple a sorti son TouchID (le machin qui crée un identifiant à partir d’une empreinte digitale), Apple a été ironiquement félicitée par les spécialistes de la sécurité parce que cela permet de vérifier à grande échelle la stupidité de l’identification biométrique.
Une seule clef pour tout déverrouiller, effectivement, ce n’est pas la meilleure des idées.
#11
#12
#13
Je propose une puce magnétique implantée sur le front.
Tous les lecteurs de cartes CB sans contact pourront le lire, il suffit de coller le front dessus.
Un code barre derrière la nuque constituera un moyen de secours. Ainsi ca marchera même avec une douchette de la caissuère.
Pour les PC, il suffit de s’équiper d’un lecteur sans contact ou une douchette infra rouge…
Que demande le peuple ???
#14
Je pense que le mot de passe reste la solution la meilleure et la plus simple.
De toute façon, on ne coupera pas au problème principal, à savoir que des utilisateurs non formés représenteront toujours un danger quoi qu’on fasse.
#15
le biométrique, c’est un ID, pas un passwd
#16
maintenant qu’ils ont quasiment tous sur nous, il leur manque plus que la reconaissance faciale les emprunte et l’adn, une fois fido en place il leur manquera plus que l’adn (et il me semble que certain lecteur arrive a ce niveau), je connais certain cervice de renseignement que cela va intéressé, cette orgie d’info fraiche
#17
#18
S’il y a bien quelque chose qui n’est pas confidentiel, ce sont les identifiants biométriques : partout, je laisse mes empreintes digitales et mon ADN ; une photo peut suffire pour ma gueule, mon iris, mon contour d’oreille, etc. ; un enregistrement pour ma voix ; etc.
" />
#19
Sans oublier les doppelgängers
#20
#21
#22
C’est un moyen de communication malheureusement encore très prisé dans les hôpitaux français (inter et intra hospitalier)… Je dois en envoyer une 30aine par mois ^^
#23
#24
Ah c’est bon ça 
" />
#25
#26
Comme d’hab ? Le W3C fait les choses plutôt bien en général. Lentement, mais bien.
#27
#28
Je préfère perdre mon compte NXI ( exemple ) par simple hack de mon mdp , que de
me faire prendre mon empreinte vocale ou digitale, iris , visage , pour un “bête” site
d’actu
#29
Le W3C veut en finir avec les mots de passe l’anonymat sur le web
#30
C’est exactement ça le problème. et en plus une fois ton empreinte bio compromise, tu fais quoi ? tu changes d’oeil ?
#31
c’est qu’une partie du problème, l’autre étant que le site/l’entreprise les possèdent ces données bio !
à l’heure actuelle, la plus part des sites où je suis , propose l’email de secours + une phrase secrète , etc .
Donc 2 possibilités : Soit on hack mon compte par brute force/ par vole de BDD , mais du coup c’est l’entreprise qui n’a pas sécurisé son site et son serveur !
Soit on me hack par tentatives à la con / social engineering , du coup c’est moi qui n’est pas mis un mot de passe assez fort pour évité d’être facilement trouvable.
C’est sur qu’avec le login / email ( certains site offre la possibilité d’avoir un nom d’affichage et un login différent ) , et les mdp générique 123456 , ce n’est pas vraiment la peine de changer pour du biométrique, c’est de l’éducation .
Pour certains gros services important à mes yeux, je suis prêt à faire le sacrifice de qq € pour une clé USB d’authentification , mais j’ai du mal à lacher mon portable pour une authentification par numéro de mobile, alors viens l’option de s’acheter un numéro uniquement pour des authentificator .
Perso, je vois qu’on peut se connecter avec G+ et FB sur le site de ma mutuelle , voici le message “ A noter : Vos informations ne sont en aucun cas stockées par Nomdemamutuelle”.
Alors après c’est par l’ignorance que j’en finie parano, car je ne sais pas ce qui se passe si je me connecte via G+ ou FB , mais personnellement ça n’augure rien de bon . sont-ce mes données de santé qui sont transmises à ces entreprises ???
#32
Ouai, on verra si ça fait un flop comme OpenID ou Persona. C’était quand même de très bonnes idées : Avoir un mot de passe fort sur un fournisseur d’identité en lequel on à confiance, puis auth sur tout le reste par chalenge avec le fournisseur d’identité.
#33
#34
Une bonne solution serait d’être identifié via le navigateur internet (avec plusieurs comptes au choix) et que de là, ces informations permettent de s’inscrire/identifier facilement aux autres services. Services qui recevrait un identifiant unique pour chacun des services et ne jamais connaitre l’identifiant de base de l’utilisateur.
#35
#36
Pour ceux qui ne sont pas alergiques à l’anglais, lisez, ce type est juste brillant.
La solution est :
https://www.grc.com/sqrl/sqrl.htm
#37
#38
#39
#40
#41
Tu rigoles ?
Le fax de ma boîte continue de recevoir régulièrement des spams commerciaux dont certains de … Orange Business Service (à la pointe de la technologie marketing cette boîte …).
En entreprise, le fax n’est hélàs pas mort : si tu n’en as pas, tu risques d’être emmm…. avec un client qui ne passe que par là.
Par contre, rien n’empêche de n’avoir qu’un numéro de fax à 3 €HT/mois qui redirige vers un fichier PDF envoyé par mail, et d’envoyer soi-même un fax réponse via un logiciel.
#42
avec un ricard , c’est plutôt facile
#43
Si c’est pour faire de la biométrie, je garde mes mots de passe pourraves !
Et les smartphones, ça se fait voler plus souvent que les mots de passe.
#44
#45
Bah, on repassera dans 100 ans … quand ils auront une idée.
#46
#47
#48
Pourquoi ne pas faire une authentification par “point” sur une image ? Un peu comme le déverrouillage de Windows 8 (vous choisissez une image et vous y balancer des formes) ? Voir même un mot de passe en mode couleur: c’est à dire que le mot de passe est constitué de couleur choisis (genre 5 couleurs différente…) Après perso je retiens mieux un mot de passe mais… J’utilise un générateur et le tout crypté dans une bdd local donc bon… x)
#49
#50
#51
#52
#53
#54
#55
#56
L’intention est plus que louable, mais effectivement c’est un énorme euphémisme que de dire que la rtoute est encore longue….
Perso j’ai toujours pensé que la meilleure protection anti-feu qui soit, c’est tout simplement de s’être déjà cramé….
A mon sens, une prise de conscience étendue et une acceleration des technos sur ce domaine ne pourra vraiment se faire qu’après un énorme scandale de fuites de données suite à MDP défaillant. Pas juste un petit site qui se fait hacker, mais un gros truc, du genre Google, Apple ou une grande banque.
Ou bien quelquechose lié à la sécurité des personnes (quand il y aura des conséquences qui impliquent des vies, quoi).
#57
#58
Tu envoies bouler un client sous prétexte que c’est un
" /> , toi ?
Si tu en as trop, envoies les moi.
#59
#60
Pour défendre un peu Ricard, il faut dire que tu fais fort au niveau orthographe.
Tu sais qu’il existe des correcteurs orthographiques sur la plupart des navigateurs ?
#61
#62
#63
#64
Même en période de vache folle, un client, ça se garde.
#65