W3C et l'Alliance FIDO Finalisent le Standard Web pour des Connexions Sécurisées et sans Mot de Passe

Les principaux navigateurs et plates-formes prennent désormais en charge le nouveau standard Web pour des connexions simples et sécurisées via la biométrie, les appareils mobiles et les clés de sécurité FIDO.

Lire les témoignages des Membres du W3C

https://www.w3.org/, et MOUNTAIN VIEW, Calif., — 4 mars 2019 — Le World Wide Web Consortium (W3C) et l'Alliance FIDO ont annoncé aujourd'hui que la spécification Web Authentication (WebAuthn) était désormais un standard Web officiel. Cette avancée est une étape majeure pour rendre le Web plus sûr et plus utilisable par les utilisateurs du monde entier.

 

illustration showing two persons looking at a computer and WAI icons

 

La Recommandation du W3C WebAuthn, un composant essentiel de la suite de spécifications FIDO2 (1) de l'Alliance FIDO, est un standard pour navigateurs Web et plate-formes permettant une authentification plus simple et plus robuste, et est déjà pris en charge dans Windows 10 et Android, ainsi que les navigateurs web Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari (preview). WebAuthn permet aux utilisateurs de se connecter à leurs comptes Internet à l'aide de l'appareil de leur choix. Les services et applications Web peuvent — et devraient — activer cette fonctionnalité pour donner à leurs utilisateurs la possibilité de se connecter plus facilement via la biométrie, les appareils mobiles et / ou les clés de sécurité FIDO, avec une sécurité bien supérieure à celle des seuls mots de passe.

Le moment est venu pour les services Web et les entreprise d'adopter WebAuthn pour déjouer la vulnérabilité des mots de passe et améliorer la sécurité des expériences en ligne des utilisateurs du Web. La recommandation du W3C établit des directives d'interopérabilité à l'échelle du Web, définissant des attentes cohérentes pour les utilisateurs du Web et les sites qu'ils visitent. Le W3C s’efforce de mettre en œuvre cette meilleure pratique sur son propre site.

Jeff Jaffe, PDG du W3C

Une solution ergonomique contre le vol de mots de passe, le hameçonnage, et les attaques par « rejeu »

Il est établi que les mots de passe ont perdu leur efficacité. Les mots de passe par défaut, faibles ou volés sont non seulement à l'origine de 81 pourcent des violations de données, mais en plus ils créent une perte de temps et de moyens. Ainsi, selon une étude récente de Yubico, les utilisateurs consacrent 10,9 heures par an à la saisie et / ou à la réinitialisation de mots de passe, coûtant en moyenne 5,2 millions de dollars par an aux entreprises. Les solutions traditionnelles d'authentification multi-facteurs (MFA) tels que les codes ponctuels reçus par SMS ajoutent une couche de sécurité supplémentaire, mais restent néanmoins vulnérables aux attaques par hameçonnage, ne sont pas simples d'utilisation, et souffrent d'un faible taux d'adoption.

Avec FIDO2 et WebAuthn, la communauté technologique mondiale s'est réunie pour élaborer une solution commune au problème commun des mots de passe. FIDO2 résout tous les problèmes associés à l'authentification traditionnelle :

  • Sécurité : les identifiants de connexion cryptographiques FIDO2 sont uniques sur chaque sites Web et aucune information biométrique ou autres secrets tels que les mots de passe ne quittent le terminal de l'utilisateur ou ne sont stockés sur un serveur. Ce modèle de sécurité élimine tout risque de hameçonnage, toutes formes de vol de mots de passe, et les attaques par « rejeu ».
  • Commodité : les utilisateurs se connectent avec des méthodes pratiques telles que les lecteurs d'empreintes digitales, les appareils photo, les clés de sécurité FIDO ou leur appareil mobile.
  • Confidentialité : les clés FIDO étant uniques pour chaque site Internet, elles ne peuvent pas êtres utilisées pour vous suivre à travers les sites.
  • Évolutivité : les site Web peuvent activer FIDO2 par simple appel API sur tous navigateurs et toutes plate-formes équipés, au moyen de milliards d'appareils utilisés quotidiennement par les consommateurs.

Web Authentication en tant que norme Web officielle est l’apogée de nombreuses années de collaboration de l’industrie pour développer une solution pratique permettant une authentification robuste sur le Web. Grâce à cette étape, nous entrons désormais dans une ère de protection pour tous ceux qui utilisent Internet, omniprésente et s'appuyant sur le matériel d'authentification FIDO.

Brett McDowell, directeur exécutif de l'Alliance FIDO

Mise en œuvre

Pour les fournisseurs et fournisseurs de services prêts à se familiariser avec les spécifications FIDO2 et le déploiement sur navigateurs / plates-formes, l'Alliance FIDO fournit des outils de test et a lancé un programme de certification. À l'heure actuelle, il existe de nombreuses solutions FIDO2 certifiées prenant en charge de nombreux cas, notamment des serveurs universels certifiés FIDO prenant en charge FIDO2 et tous les appareils UAF et U2F antérieurs pour une compatibilité totale avec la gamme complète d'authentificateurs FIDO certifiés.

Visitez le site Web de l'Alliance FIDO pour de plus amples informations sur FIDO2, y compris des ressources pour les développeurs et les fournisseurs de produits intéressés par le programme certifié FIDO.

FIDO2 rassemble la spécification Web Authentication (WebAuthn) du W3C ainsi que le protocole CTAP (Client-to-Authenticator Protocol) de l'Alliance FIDO.

À propos de l'Alliance FIDO

L'Alliance FIDO (Fast IDentity Online), www.fidoalliance.org, a été créée en juillet 2012 face au manque d'interopérabilité entre les technologies robustes d'authentification, pour résoudre les problèmes rencontrés par les utilisateurs lors de la création et de la mémorisation de plusieurs noms d'utilisateur et mots de passe. L'Alliance FIDO change la nature de l'authentification en élaborant des normes d'authentification plus simple, plus forte, définissant un ensemble de mécanismes ouverts, évolutifs et interopérables réduisant le recours aux mots de passe. L'authentification FIDO est plus robuste, confidentielle, et plus facile d'utilisation sur les services en ligne.

À propos du Consortium World Wide Web

La mission du World Wide Web Consortium (W3C) est de mener le Web à son plein potentiel en créant des standards techniques et des directives pour s’assurer que le Web reste ouvert, interopérable et accessible pour tous, dans le monde entier. Les standards Web HTML5 et CSS du W3C sont les technologies fondamentales sur lesquelles reposent tous les sites Web. En reconnaissance de son travail pour rendre plus accessibles les vidéos en ligne grâce aux légendes et aux sous-titres, le W3C a reçu un « Emmy Award » en 2016.

La vision du W3C pour « Un seul Web » rassemble des milliers d'experts techniques représentant plus de 400 organisations membres et des dizaines de secteurs industriels. Sur le plan organisationnel, le W3C est géré conjointement par le MIT Computer Science and Artificial Intelligence Laboratory (MIT CSAIL) aux États-Unis, le European Research Consortium for Informatics and Mathematics (ERCIM) basé en France, l'Université de Keio au Japon et l'Université Beihang en Chine. Pour de plus amples informations, consultez https://www.w3.org/

Fin du communiqué de presse

Contacter l'Alliance FIDO

Megan Shamas, Montner Tech PR, +1.203.226.9290
<press@fidoalliance.org>

Contacter le W3C

Amy van der Hiel, W3C Media Relations Coordinator <w3t-pr@w3.org>
+1.617.253.5628 (US, Eastern Time)