Le World Wide Web Consortium a mis au point une norme web potentielle pour se connecter au moyen de données biométriques. Entre-temps, la norme est implémentée dans différents navigateurs et semble pouvoir remplacer à terme aussi le mot de passe Windows.
Le World Wide Web Consortium, créé par le pionnier internet Tim Berners-Lee, est une organisation qui conçoit les normes web pour internet. La semaine dernière, il a attribué à WebAuthn (une abréviation de ‘Web Authentication’) le statut de ‘candidat recommandé’ pour devenir une nouvelle norme web. Cela signifie que le Consortium encourage dès à présent les entreprises et les développeurs à mettre en oeuvre cette API web, et que WebAuthn a donc de bonnes chances de devenir la nouvelle méthode de login.
WebAuthn promet de protéger les utilisateurs contre le hameçonnage (‘phishing’), car s’il n’est plus nécessaire d’utiliser des mots de passe, il n’y a plus rien à voler. “Les mots de passe sont l’un des maillons les plus faibles dans la chaîne de garantie d’un internet sûr, mais c’en sera bientôt fini. WebAuthn changera la manière dont les gens se connectent au web”, a déclaré Jeff Jaffe, le CEO du World Wide Web Consortium.
Mozilla a déjà implémenté la norme WebAuthn dans son navigateur Firefox, tandis que Google et Microsoft font à présent de même dans Chrome et Edge. Demain, des spécialistes de la sécurité de Microsoft et de Google expliqueront la nouvelle méthode d’authentification lors d’une conférence RSA.
WebAuthn peut fonctionner de plusieurs façons. L’une d’elles consiste à saisir votre nom d’utilisateur sur un site web. Au lieu d’entrer ensuite votre mot de passe, vous recevrez une notification sur votre smartphone. Il vous suffira alors d’une empreinte digitale pour vous connecter. Une autre possibilité est d’utiliser une clé USB spéciale telle Yubikey.
WebAuthn est une importante composante de la norme d’authentification ouverte FIDO2. L’autre composante est le ‘Client to Authenticator Protocol’ (CTAP) qui permet de se connecter via USB, Bluetooth ou NFC.
Microsoft va supporter ce genre de logins FIDO2 pour son service ‘cloud’ Azure AD et ce, à partir de la prochaine mise à jour de Windows 10. Le support sans mot de passe est donc dans un premier temps destiné au marché professionnel, pour se connecter par exemple à des PC partagés. Ultérieurement, Microsoft entend rendre le support exempt de mot de passe disponible pour tout un chacun, par exemple via une appli pour smartphone ou via Bluetooth.
