W3C accélère ses efforts pour un Web plus sûr
Lancement du travail sur l’authentification Web basée sur les spécifications de l’alliance FIDO pour une alternative plus sûre et flexible aux connexions par mots de passe sur le Web
http://www.w3.org/ — 17 février 2016 — Reconnaissant le rôle critique de l’authentification forte sur le Web dans la sécurisation de l’expérience Web pour tous, le World Wide Web Consortium annonce aujourd’hui le lancement d'un nouvel effort de standardisation dans l' Authentification Web qui permettra d’offrir une alternative plus sûre et flexible aux connexions par mots de passe sur le Web.
Pour bon nombre d’utilisateurs du Web, les mots de passe peuvent s’avérer fastidieux et n’offrent qu’une très faible protection pour leurs interactions, ils sont trop souvent oubliés ou trop faibles, ou encore, ils peuvent être devinés facilement. Même des mots de passe fiables peuvent être perdus dans les violations de données ou faire l’objet d’attaques d’hameçonnage. Le travail récent d’authentification sur le Web du W3C, basé sur la soumission APIs Web FIDO 2.0 des membres de l’Alliance FIDO, permettra la mise en place d’opérations cryptographiques solides plutôt que l’échange de mots de passe.
« Quand l’authentification forte est facile à déployer, nous rendons le Web plus sûr pour un usage quotidien, personnel et commercial » a déclaré Sir Tim Berners-Lee, l’inventeur du Web et Directeur du W3C. « Avec la portée et la fréquence de l’augmentation des attaques, il est impératif pour le W3C de développer de nouvelles normes et de meilleures pratiques pour améliorer la sécurité sur le Web. »
L’Authentification Web complète les activités actuelles sur la sécurité du Web du W3C
Selon le PDG du W3C Dr. Jeff Jaffe, l’effort d’Authentification du Web sera complémentaire du travail sur l’API de la Crypthographie du Web, qui est actuellement en status de Recommandation Candidate, ainsi que les travaux en cours sur les spécifications en Sécurité d'Application Web. L’API WebCrypto fournit une API Javascript à une suite standard d’opérations cryptographiques à travers les navigateurs. Le travail au sein de WebAppSec inclut des améliorations pour l’expérience HTTPS ainsi que les mises à jour de à la Politique de Sécurité des Contenus (CSP), permettant aux auteurs d’application de mettre en place des politiques pour déterminer quels contenus peuvent être autorisés sur leurs sites, afin de les protéger contre du code indésirable ou malveillant.
« Notre objectif est d’amener la Plateforme Web Ouverte à des normes de sécurité plus élevées et de collaborer avec l’industrie, les experts académiques, et autres organisations afin de s’assurer de répondre aux besoins spécifiques du Web » a déclaré Jaffe. « Nous espérons une large participation afin de travailler ensemble sur cette priorité majeure afin de préserver un Web aussi sûr que possible aujourd’hui et dans un avenir proche. »
Wendy Seltzer, Chef du domaine Technologie et Société, explique qu’elle espère que le travail sur la nouvelle authentification Web permettra de combler cet important fossé relatif à la plateforme Web. « Nous avons vu de bien meilleures méthodes d’authentification que les mots de passe, tandis que bien trop de sites Web utilisent ces connexions basées sur les mots de passes. Les APIs Web standard permettront une mise en œuvre cohérente à travers l’écosystème du Web. Cette nouvelle approche remplacera les mots de passe par des moyens plus sûrs pour se connecter sur les sites Web, tel que l’usage de clé USB ou l’activation par téléphone intelligent. Une authentification forte est utile pour toute application Web qui veut maintenir une relation pérenne avec ses usagers » a commenté Seltzer.
Les APIs Web FIDO 2.0 pour démarrer le Travail de l’Authentification Web
Le travail technique de l’Authentification Web du W3C est en pleine accélération grâce à la soumission W3C APIs Web FIDO 2.0 des membres de l’Alliance FIDO. Les APIs présentées ont pour but d’assurer des normes d’authentification forte à travers tous les navigateurs Web ainsi que l’infrastructure de la plateformes Web.
« Notre mission est de révolutionner l’authentification sur le Web par le biais du développement et de l’adoption globale de spécifications techniques qui supplantent la dépendance du monde aux mots de passe avec une authentification interopérable » expliquait Brett McDowell, Directeur exécutif de l’Alliance FIDO. « Avec l’acceptation du W3C de la soumission FIDO 2.0 et la préparation de ce nouveau groupe de travail sur l’Authentification Web, nous sommes en bonne voie pour accomplir cette mission ».
La première réunion du groupe de travail sur l'Authentification Webaura lieu le 4 mars 2016 à San Francisco, celui-ci est commodément planifié pour les participants qui assistent à la conférence RSA USA. Toutes les activités de standardisation du W3C ont lieu au sein de groupes de travail ouverts à la participation des membres du W3C et fournissent des listes de courriels publiques et des répertoires pour les commentaires publics.
« Les développeurs et ingénieurs impliqués dans les démarches du W3C d’amélioration de la sécurité du Web sont profondément conscients du besoin de moderniser les protocoles sans toutefois interrompre le Web sur lequel des milliards d’individus comptent » a déclaré Seltzer. « Nous encourageons beaucoup les intéressés à soutenir le W3C dans sa quête de construction d’un Web plus sûr, à s’impliquer au sein de l’organisation. »
À propos du Consortium World Wide Web
Le World Wide Web Consortium (W3C) est un consortium international où les organisations membres, un personnel à temps plein, et le public travaillent ensemble afin au développement de standards du Web. Le W3C poursuit essentiellement sa mission à travers la création de normes et de directives créées pour assurer une croissance à long-terme et une direction pour le Web. Plus de 400 organisations sont Membres du Consortium.
W3C est piloté conjointement par le MIT Computer Science and Artificial Intelligence Laboratory (MIT CSAIL) aux États-Unis, le European Research Consortium for Informatics and Mathematics (ERCIM) basé en France,L'Université de Keio au Japon et l'Université de Beihang en Chine. W3C a des bureaux en Australia, dans les pays du Benelux, Brésil, Finlande, France, Allemagne et Autriche, Grèce, Hongrie, Inde; Italie, Corée, Maroc, Russie, Afrique du Sud, Espagne, Suède, le Royaume-Uni et l’Irelande. Pour plus d’informations visitez le site : http://www.w3.org/
Fin du Communiqué de Presse. Traduction: merci á Géraldine Jippé.
Contact média
Karen Myers, W3C <w3t-pr@w3.org>
Mobile: 1.978.502.6218