Fast IDentity Online (FIDO) devrait devenir un nouveau standard d’authentication online, loin devant d’autres formes d’authentication.
La FIDO Alliance a été créée mi-2012 dans l’optique d’une plus grande interopérabilité entre les puissants systèmes d’authentification par le développement d’un nouveau protocole ouvert. Celui-ci devrait offrir un soutien à un large éventail de systèmes d’authentification, tels les jetons (‘tokens’), les mots de passe uniques et la saisie biométrique (comme
les empreintes digitales, la reconnaissance de la voix et du visage), sur tous les types possibles de systèmes pour utilisateurs finaux. Le mécanisme fonctionnerait via toutes les formes possibles de communication (wifi, NFC,…), et reposerait sur la combinaison d’un ‘authenticator’ sur l’appareil de l’utilisateur final et d’un logiciel ‘validator’ sur le serveur/système web contacté. FIDO devrait appréhender formellement des menaces telles le hameçonnage (‘phishing’) et les attaques ‘man-in-the-middle’. Le nouveau protocole serait en outre complémentaire des standards existants comme SAML (pour l’échange d’informations d’authentification), OpenID (un système de gestion ID fédéré) et OAuth (un standard d’autorisation ouvert). FIDO en publiera au cours de cette année les spécifications et présentera un programme de conformité, puis proposera le standard à une organisation de standardisation telle IETF ou W3C. Tout cela a été explicité sur une liste de FAQ sur le site de la FIDO Alliance.
Parmi les membres fondateurs de la FIDO Alliance, l’on trouve entre autres Lenovo (qui équipe souvent déjà ses systèmes d’un contrôle d’accès biométrique) et PayPal. Le projet a aussi fait l’objet de commentaires positifs de la part de l’américaine NSTIC (National Strategy for Trusted Identities in Cyberspace), une initiative de l’institut américain des standards (NIST).
