Récemment adopté par le consortium W3C, le standard WebAuthn pourrait faire disparaître les mots de passe des solutions d’identification utilisées par les sites Web.
Aujourd’hui encore, les mots de passe restent le système d’accès sécurisé le plus utilisé sur internet. Chaque année d’ailleurs, de nombreux articles rappelant le manque d’imagination de leurs concepteurs sont publiés. Pour mémoire, selon le classement SplashData, le plus couramment utilisé par les internautes était en 2018, une fois encore, « 123456 », suivi de « password » et de « 123456789 ». De quoi réjouir les pirates informatiques et désoler les gestionnaires de sites offrant des espaces privés et « sécurisés » par mot de passe à leurs utilisateurs.
Un standard Web
Certes, il existe de nombreuses techniques permettant de concevoir des mots de passe très robustes et de s’en souvenir. Toutefois, force est de constater que cela nécessite des efforts que tout le monde n’est pas décidé à fournir, surtout lorsque l’on doit gérer plusieurs dizaines de mots de passe. Raison pour laquelle des solutions alternatives et fiables sont recherchées depuis des années. Baptisée WebAuthn, une des dernières d’entre elles est un protocole qui a été, au début du mois, élevé au rang de standard par le World Wild Web Consortium (W3C), un organisme international chargé de promouvoir la compatibilité des technologies du Web regroupant plus de 300 entreprises high tech.
Une reconnaissance biométrique
WebAuthn, lui-même porté par une alliance (baptisée FIDO) de plus de 200 entreprises, s’appuie sur un système de reconnaissance biométrique (empreinte digitale, forme du visage…). Concrètement, l’utilisateur sera identifié par la machine qu’il utilise grâce à ce système. Puis, via un échange crypté, le site Web identifiera, à son tour, la machine comme étant celle de l’utilisateur. Ce système permettra de produire autant de clés cryptées que de sites Web utilisés par l’internaute. En outre, il garantira une protection forte des données biométriques dans la mesure où elles ne seront jamais transférées lors d’une connexion sur un site sécurisé. Plus de risque de perdre ses mots de passe suite à une attaque par phishing, donc. Et plus de risque de voir son mot de passe favori sur le podium du classement SplashData !
Article publié le – © Les Echos Publishing – 2019