FIDO2 — Connexion sécurisée sans mot de passe

En moyenne, un internaute possède 150 comptes. De plus en plus de personnes atteignent leurs limites avec les nombreux mots de passe pour la banque en ligne, les réseaux sociaux ou les e-mails. En outre, 81 % de tous les vols de données peuvent être attribués à des mots de passe volés. FIDO2 promet une authentification sûre et rapide — sans mot de passe. Nous vous expliquons comment fonctionne FIDO2 et quels en sont les avantages.
FIDO2 est une méthode d'authentification sans mot de passe de l'Alliance Fido et du World Wide Web Consortium (W3C) pour les appareils mobiles et les navigateurs. L'acronyme FIDO signifie Fast Identity Online. La méthode permet de s'identifier aux services en ligne à l'aide d'un dispositif sécurisé sans avoir à saisir de mot de passe.
En 2012, PayPal, Lenovo, Infineon, Nok Nok Labs, Validity Sensors et Agnitio ont fondé l'Alliance FIDO pour faire progresser l'identification en ligne sans mot de passe. Par la suite, d'autres sociétés de premier plan telles que Microsoft, Google et Samsung ont rejoint l'alliance. La deuxième version de la norme FIDO est apparue en 2018 sous le nom de FIDO2. Selon l'intention des fondateurs, l'algorithme de la FIDO doit être accessible pour permettre une large utilisation.
De nombreuses applications et systèmes d'exploitation utilisent déjà FIDO2 sans que les utilisateurs s'en aperçoivent. Le service de connexion Microsoft Windows Hello, qui nécessite la saisie d'un code numérique, en est un exemple. Le code PIN correct est stocké localement sur l'ordinateur et est indissociablement lié à l'appareil. Si les cybercriminels parvenaient à deviner la combinaison de chiffres, ils devraient également voler l'ordinateur pour pouvoir se connecter avec succès.
Les caractéristiques principales de FIDO2 sont les suivantes :
Le processus FIDO2 en un coup d'œil
Au lieu de taper un mot de passe, les utilisateurs de FIDO2 se légitiment au moyen d'un dispositif de confiance, appelé authentificateur. La connexion entre l'authentificateur et le navigateur est établie via Bluetooth, USB ou NFC. Il y a un choix à faire :
De nos jours, de plus en plus d'applications utilisent une authentification à deux ou même plusieurs facteurs. Par exemple, l'utilisateur doit se connecter avec son nom d'utilisateur et son mot de passe et également entrer un code envoyé par SMS. Cette méthode est très sûre, mais prend beaucoup de temps. S'il n'y a pas de réseau téléphonique disponible, par exemple, la connexion n'est pas possible.
L'authentification à deux facteurs de FIDO2 s'appuie également sur deux éléments indépendants pour légitimer les utilisateurs. Cependant, il ne nécessite pas de deuxième canal, car le dispositif remplace le SMS. L'authentificateur et une connexion internet sont donc suffisants pour l'authentification. Les solutions possibles sont les suivantes :
Les méthodes traditionnelles d'authentification par mot de passe sont symétriques, car l'utilisateur et le site web connaissent tous deux le bon mot de passe. Si la saisie lors de la connexion correspond au mot de passe stocké sur le site web, l'utilisateur est légitimé. Toutefois, cette méthode présente l'inconvénient que des tiers peuvent pirater le serveur et ainsi voler le mot de passe.
FIDO2, quant à elle, est basée sur la cryptographie asymétrique à clé publique/privée, dans laquelle une paire de clés est utilisée. Alors que la clé publique est accessible au public, la clé privée reste localement sur l'appareil. À chaque fois qu'un message est échangé, l'expéditeur crypte les données avec la clé publique. Pour le décrypter, le destinataire a besoin de la clé privée. Il n'est pas possible de la déduire de la clé publique.
FIDO2 utilise le protocole CTAP ⇱ (Client to Protocol) de l'Alliance FIDO et l'API WebAuthn ⇱ du W3C. L'interface CTAP permet aux navigateurs et aux plateformes d'établir une connexion avec un appareil conforme via USB, NFC ou Bluetooth. Lorsque l'application (navigateur ou application) se connecte à l'authentificateur, elle envoie une instruction. L'authentificateur répond soit en fournissant les données nécessaires, soit en signalant une erreur.
Le protocole WebAuthn, quant à lui, définit une interface par laquelle les applications web intègrent la cryptographie à clé publique/privée dans un navigateur pour permettre l'authentification. Cela se fait en communiquant avec l'authentificateur (module TPM ou clé externe) via le protocole CTAP.
La communication entre le serveur web et l'utilisateur final se fait en plusieurs étapes :
Fonctionnement de la registration avec FIDO2
Un navigateur prenant en charge le standard FIDO2 est nécessaire pour l'identification. En outre, le service web ou l'application en question doit également être compatible avec FIDO2. Cette dernière s'applique à tous les services Microsoft tels qu'Outlook, OneDrive et Office ainsi qu'à de nombreuses plateformes telles que Twitter, GitHub et Dropbox.
Lorsqu'un utilisateur se connecte pour la première fois, un enregistrement est nécessaire. Il est possible de choisir soi-même la méthode d'authentification. Avec Windows Hello, par exemple, la première connexion fonctionne comme suit :
La cryptographie à clé publique/privée est considérée comme très sûre car il est presque impossible de deviner la clé privée. Cela rend FIDO2 plus fiable que les méthodes d'authentification classiques basées sur les mots de passe, où les pirates peuvent facilement découvrir les mots de passe, notamment ceux qui sont peu robustes.
En outre, FIDO2 offre les avantages suivants :
Cependant, même FIDO2 n'offre pas une sécurité à cent pour cent. Si quelqu'un vole la clé FIDO2 et le dispositif correspondant, il peut se connecter sans le moindre problème, en fonction des paramètres. Cependant, il est plus facile de prévenir ce type de vol que le vol en ligne en gardant tout le matériel en sécurité.
Si un utilisateur perd l'authentificateur, la récupération n'est souvent possible qu'avec un code de secours ou une deuxième clé déjà enregistrée. Dans les cas concrets, cependant, la procédure dépend de la demande en question. Les sites web qui traitent des données de paiement ont généralement des exigences de sécurité plus élevées que les comptes de réseaux sociaux, par exemple.
Afin d'exécuter la procédure d'authentification FIDO2, les services en ligne ont besoin de l'API Web standardisée de WebAuthn. Windows 10 et Android (à partir de la version 7.0+) sont compatibles, tout comme les navigateurs suivants :
De nombreux sites web et applications ont également déjà implémenté l'authentification sans mot de passe avec FIDO2. Il s'agit notamment de :
Le système FIDO2 offre une procédure sûre et simple pour utiliser des applications et des services web sans mot de passe. Avec une authentification basée sur la cryptographie asymétrique, la clé privée reste locale, ce qui offre une sécurité contre le vol de mot de passe.
Presque tous les navigateurs et systèmes d'exploitation courants, ainsi que de nombreuses applications web, sont compatibles avec FIDO2. Les utilisateurs ont besoin d'un module TPM, d'une clé FIDO2 externe, d'une carte à puce ou d'un logiciel faisant office d'authentificateur. La méthode d'authentification peut être un code PIN ou des caractéristiques biométriques. En somme, FIDO2 est une alternative à part entière et sécurisée à la connexion par mot de passe, qui devrait être particulièrement attrayante pour les internautes qui en ont assez des mots de passe.
En revanche, si vous cherchez simplement un moyen pratique de gérer en toute sécurité vos nombreux mots de passe, les gestionnaires de mots de passe constituent une bonne alternative.