Vers un internet sans mots de passe avec FIDO2
Quel est le problème des mots de passe ?
Il existe hélas d'innombrables exemples de piratages de sites où des millions de noms d'utilisateur et de mots de passe ont été dévoilés. De plus, les pirates utilisent des méthodes comme le phishing pour vous faire accéder à une page web contrefaite afin de dérober vos données de connexion.
Grâce aux connexions sans mot de passe, ces problèmes sont de l'histoire ancienne. FIDO2, développé par la FIDO2 Alliance, est la norme qui rend possible l'authentification sans mot de passe.
FIDO2 se base sur le cryptage asymétrique d'une part et l'authentification biométrique (empreintes digitales ou reconnaissance faciale) d'autre part.
Dans le cryptage asymétrique, il y a deux informations : une clé privée et une clé publique. Vous conservez la clé privée quelque part localement (elle n’est donc pas accessible via internet), p. ex. sur votre ordinateur. Vous pouvez l'utiliser pour signer une demande d'authentification (p. ex. d'un site web). La clé publique, conservée en ligne sur ce site, va à son tour contrôler le résultat de cette demande et l'utiliser pour confirmer votre identité.
Un exemple concret
Une connexion via FIDO2 ne fonctionne que si vous et le site auquel vous voulez accéder disposent d'une combinaison unique de clé privée et clé publique.
Imaginez donc que vous vouliez vous connecter au site de PayPal grâce à FIDO2. Votre appareil va alors commencer par créer cette paire unique. La clé privée sera conservée localement sur votre appareil, tandis que la clé publique sera envoyée aux serveurs de PayPal qui la conserveront.
Dans une procédure de connexion FIDO2, votre propre appareil (local) fait office de ce qu'on appelle un authentificateur : il est le seul à pouvoir démontrer qu'il dispose de la clé privée nécessaire en fin de compte pour vous faire accéder au site web avec la clé publique associée (PayPal en l'occurrence).
Voici ce qui arrive quand vous voulez vous connecter au site : PayPal envoie une demande d'authentification (considérez-la comme un très grand nombre aléatoire) à votre navigateur et le prie de signer cette demande avec votre clé privée. Votre navigateur envoie cette demande à votre ordinateur (l'authentificateur) qui requiert ensuite votre autorisation pour la signer. Par un scan de votre visage ou un mouvement de balayage sur votre smartphone, vous déverrouillez la clé privée et, par le biais d'un processus de contrôle complexe, votre ordinateur et PayPal font en sorte de vous connecter finalement au site.
L'authentification FIDO2 est un processus assez complexe en coulisse, mais vous ne le remarquez pas en tant qu'utilisateur car vous ne devez rien taper ni retenir et vous pouvez prouver votre identité sans divulguer d'informations "secrètes". En effet, votre empreinte digitale ou toute autre méthode d'identification (biométrique) sont conservées localement.
Tous les grands navigateurs (Mozilla, Chrome, Edge, Safari) peuvent d'ores et déjà prendre la norme en charge. Et depuis la mise à jour Windows 10 de mai 2019, Windows Hello, qui vous permet d'accéder à votre appareil par reconnaissance faciale ou en scannant vos empreintes digitales, est aussi officiellement certifié FIDO2. Le logo de certification FIDO se trouvera aussi bientôt sur les nouveaux PC Windows 10.
Il reste à présent surtout aux différents sites web à prendre en charge ce standard. En pratique, ce n'est qu’à partir de ce moment-là qu'un internet sans mot de passe pourra être une réalité.