Avec la prolifération du travail à distance et la sophistication croissante des cyberattaques, il devient clair que les méthodes d’authentification traditionnelles ne sont tout simplement pas assez puissantes.
Les avantages de la norme WebAuthn
Fabrice de Vésian, Sales Manager Grands comptes chez Yubico, partage son expertise, éclaire le sujet en répondant à 5 questions clés, et revient sur cette norme et ses bénéfices pour les utilisateurs.
C’est là qu’intervient WebAuthn, une API qui permet aux services Web d’intégrer facilement l’authentification forte dans les applications grâce à la prise en charge intégrée de tous les principaux navigateurs et plateformes.
1. Qu’est-ce que WebAuthn ?
WebAuthn est un standard qui propose une interface d’authentification des utilisateurs aux services ou applications Web, mettant l’utilisateur à l’abri des attaques de phishing. L’une des façons d’utiliser cette dernière est de se passer complètement de mots de passe, tout en conservant l’authentification à deux facteurs. Dans le meilleur des cas, le nom d’utilisateur n’est pas nécessaire pour appliquer cette API.
2. Tout le monde peut-il utiliser WebAuthn ?
Tout d’abord, il vous faut un système d’exploitation ou un navigateur compatible. La bonne nouvelle, c’est que les grands navigateurs prennent désormais en charge cette fonctionnalité. Aussi, si un utilisateur dispose d’un appareil Android, iOS, Mac, Windows Microsoft et Linux, le standard FIDO2, qui inclut le protocole WebAuthn et CTAP2, est supporté. Il existe également un support pour les clés externes, telles que la YubiKey, qui est un petit dispositif de sécurité matériel qui utilise les mêmes protocoles. Ainsi, si un utilisateur est particulièrement intéressé par la sécurité, ou souhaite utiliser ses clés sur plusieurs appareils, il peut se procurer une YubiKey et y appliquer la norme WebAuthn.
3. Qui a créé WebAuthn ?
L’histoire a commencé en 2013, lorsque Yubico et Google ont co-créé la norme U2F et l’ont apportée à l’alliance FIDO (standard FIDO2) en 2018. Le standard FIDO2, qui comprend le protocole WebAuthn, est ensuite devenu un standard du World Wide Web Consortium (W3C) en 2019 avec Yubico, Microsoft et Google comme principaux contributeurs, qui y ont ajouté quelques fonctionnalités supplémentaires comme l’authentification multifactorielle et sans mot de passe. La composition du groupe varie au fil du temps, mais il y a beaucoup d’acteurs qui collaborent pour protéger les internautes.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
4.Quel type d’expérience utilisateur WebAuthn offre-t-il ?
WebAuthn offre des gains de sécurité significatifs par rapport à l’authentification traditionnelle par mot de passe unique basé sur le temps (OTP) ou l’authentification à deux facteurs, basée sur les SMS (2FA) – grâce à sa conception sécurisée basée sur la cryptographie à clé publique et la liaison stricte des domaines.
Cependant, il est difficile de prévenir les prises de contrôle de comptes par hameçonnage, et autres cybermenaces modernes, si les utilisateurs n’ont pas confiance dans les méthodes d’authentification modernes. Cette confiance est essentielle pour garantir l’adoption de ces initiatives et assurer ainsi la protection des internautes.
Tout d’abord, je vais vous expliquer ce que cela implique pour l’utilisateur final. De manière générale, un internaute visite un site lorsqu’il souhaite se connecter, il appuie sur un bouton de connexion et obtient une fenêtre pop-up dans son navigateur pour s’identifier. Si l’internaute utilise une YubiKey, il suffit de saisir un code PIN ou poser son doigt, et ensuite de toucher la clef. En gros, il suffit d’appuyer sur un bouton et le tour est joué.
En termes techniques, le système utilise une cryptographie asymétrique. Avant de pouvoir procéder aux étapes de vérification de l’identité, l’utilisateur doit effectuer un enregistrement au cours duquel il crée une paire de clés publique et privée. Grâce à celles-ci, il pourra appeler une API Javascript dans le navigateur, qui fait une demande à la clé de sécurité. Cette étape comprendra un défi à compléter et vérifiera aussi le domaine sur lequel il souhaite se connecter. De cette façon, lorsqu’il s’authentifie grâce à une clé de sécurité, la vérification sera liée au domaine auquel il essaye de se connecter. Toutefois, il ne pourra pas accéder à d’autres domaines non vérifiés. Même si un utilisateur tombe sur un portail de phishing ultra-sophistiqué et réaliste, le standard FIDO va repérer qu’il ne se connecte pas au domaine choisi. Dans ce sens, la clé l’empêche de s’authentifier sur un site de phishing qui lui volera ses données sensibles. Même si, en tant qu’être humain, l’internaute ne remarque pas que quelque chose ne va pas, la clé de sécurité et le WebAuthn lui offrent un système intégré de détection automatique des fraudes.
- Quel est le rapport entre WebAuthn et les passkeys ?
L’un des principaux défis de WebAuthn est la perte de la clé de sécurité, qui peut bloquer les accès d’un utilisateur à un domaine, sauf à enregistrer une clef de secours ou utiliser une méthode d’accès dégradée. Il a donc besoin d’enregistrer deux outils, ce qui peut être contraignant. Dans le cas contraire, en enregistrant un téléphone, l’internaute peut également se retrouver coincé au moment de la connexion, s’il n’y a pas accès. Pour résoudre ces problèmes, Apple, Google et Microsoft ont déclaré en octobre 2022, qu’ils allaient créer un nouvel outil appelé « passkeys ». L’un des éléments inclus dans ce projet est le fait que la clé WebAuthn, enregistrée sur un appareil informatique ou un téléphone, sera aussi synchronisée avec un compte dans le cloud. Ainsi, le compte utilisateur sera synchronisé sur tous les appareils disposant de ce compte. Pour une sécurité plus élevée, les internautes devraient utiliser une YubiKey, car elle ne peut être contournée par un cybercriminel étant une solution matérielle.