Vers un web sans mots de passe avec WebAuthn

Dans notre société toujours plus digitalisée, l’authentification est au centre de nos préoccupations : la sécurité de nos différents comptes, et donc de nos données personnelles, se voit actuellement assurée par nos mots de passe. Toutefois, en mars dernier, le consortium FIDO (Fast IDentity Online) composé de grands groupes tels que Google, Microsoft ou encore Samsung Electronics, a annoncé un nouveau mode d’authentification : une interface de programmation (API) appelée « WebAuthn » se basant sur les données biométriques de l’utilisateur. Un tournant dans la cybersécurité Avec cette nouveauté, il ne serait pas surprenant de voir les mots de passe disparaître dans les prochaines années, étant donné le nombre de défauts qu’ils présentent. Entre les difficultés que l’on peut éprouver à s'en rappeler, et la quantité croissante de comptes hackés chaque année, ce système semble aujourd’hui dépassé. L’API « WebAuthn », désormais présente sur Firefox, Chrome, Opera et Edge, permet de pallier ces problèmes en offrant à l’utilisateur la possibilité d’abandonner ses mots de passe au profit de ses données biométriques. 

Fonctionnement de WebAuthn 

Au moment de sa connexion, l’utilisateur aura un large choix de possibilités. Il pourra utiliser un mode d’authentification intégré à son appareil,détectant ses données biométriques – telles que sa voix, ses yeux, ses empreintes digitales ou encore son visage – grâce à différents capteurs. Ou utiliser un mode d’authentification extérieur, comme sa montre connectée, son smartphone ou même une clé USB en faisant appel aux technologies NFC, Bluetooth et USB.

En fonction du moyen choisi, WebAuthn va générer une clé publique puis l’envoyer au site web en question afin qu’il le stocke dans sa base de données au lieu du mot de passe. Il générera également une clé privée qui restera exclusivement en possession de l’internaute et qui signera ses messages envoyés au site. La clé publique possède donc les données chiffrées que seule la clé privée pourra déchiffrer, garantissant ainsi leur sécurité. Ainsi, les hackers auront besoin de la clé privée et du système authentificateur de l’utilisateur pour réussir à lui soutirer des informations. Des tests ont déjà été effectués auprès du grand public. Dans la vidéo qui suit, on peut observer comment une personne se connecte sur le Store de Google et y achète un téléphone grâce à son empreinte digitale, directement depuis son smartphone.

Un avenir radieux mais des interrogations 

La technologie présentée par FIDO semble donc en passe de devenir indispensable dans le futur, aussi bien d’un point de vue pratique que d’un point de vue technologique. C’est donc au tour des différentes plateformes, comme Chrome, Firefox ou encore Safari d’adopter ce système et de perfectionner leurs services de manière adéquate. Les éditeurs de site ont également tout intérêt à l’intégrer afin d’attirer et de rassurer un maximum d’internautes en protégeant au mieux leurs données. Quelques points peuvent néanmoins jouer en la défaveur de WebAuthn. Tout d’abord, il faudra en permanence posséder un terminal physique sur soi, pouvant reconnaître la caractéristique biométrique correspondante afin de pouvoir s’identifier. De plus, on peut se demander comment seront gérés les problèmes de perte ou de vol d’un de nos modes d’authentification extérieurs – comme son smartphone – sans lequel la connexion ne sera plus possible. 

Synerg’hetic vous accompagne

Grâce à la formation prodiguée par HETIC, les consultants de Synerg’hetic sont à même de conceptualiser sites et applications tout en assurant la sécurisation des données de vos utilisateurs. N’hésitez pas à nous contacter via une demande de devis.