Le W3C en charge des standards du web a annoncé l’arrivée de WebAuthn, un moyen de ne plus avoir besoin de mots de passe.

La gestion des mots de passe c’est l’une des problématiques récurrentes sur le web. Pour assurer une bonne sécurité de ses comptes, il est généralement conseillé d’utiliser des mots de passe différents pour chaque service, ce qui peut les rendre difficiles à retenir.

Depuis plusieurs années, les géants de web se sont réunis au sein de la FIDO Alliance dont le but est d’en finir avec les mots de passe. Cette alliance regroupe Amazon, Google, Microsoft, mais aussi des acteurs directs de la sécurité comme Synaptics et Gemalto.

WebAuthn : une identification simple par smartphone

Le W3C et la FIDO Alliance ont dévoilé WebAuthn, un protocole que les sites web vont pouvoir intégrer pour gérer l’authentification des utilisateurs. Google, Mozilla et Microsoft ont déjà annoncé l’intégration de ce protocole à Chrome, Firefox et Edge qui représentent la grande majorité des navigateurs utilisés.

A la place d’un couple login et mot de passe, les utilisateurs pourront se servir de la biométrie pour s’identifier, en utilisant soit un moyen accessible sur la machine, soit un smartphone. Ce dernier pourra communiquer avec le site web chargé sur l’ordinateur à travers le Bluetooth, l’USB ou le NFC.

Mettre fin au fishing

La FIDO Alliance présente ce nouveau protocole comme un moyen d’éradiquer le fishing, cette pratique qui consiste pour un site ou un mail malveillant à imiter le style d’un site connu pour inciter l’utilisateur peu regardant à communiquer ses identifiants.

Comme l’identifiant et le mot de passe n’interviennent plus dans l’identification de l’utilisateur au service, mais que c’est le navigateur qui s’en charge, ces techniques ne devraient plus fonctionner.