Avec la multiplication des services en ligne, les internautes d’aujourd’hui doivent faire face à une multiplication du nombre de mots de passe qu’ils doivent gérer (si bien sûr ils prennent la peine de ne pas utiliser le même partout…), ce qui n’est pas sans poser quelques problèmes à l’usage…
En effet, sans gestionnaire de mot de passe il devient presque impossible de gérer les centaines de mots de passe à mémoriser, et lorsqu’on n’a pas accès au gestionnaire on se retrouve dans l’incapacité de se connecter au moindre compte.
Il est donc grand temps de mettre au point des solutions d’identification alternatives au mot de passe pour faciliter les accès. Plusieurs solutions de ce type ce sont développées ces dernières années, comme le protocole OAuth, qui permet de centraliser l’authentification via un service, ou encore les systèmes d’identification via un compte Google ou Facebook. Mais ces systèmes ont le défaut de dépendre d’une autorité d’identification centralisée, ce qui rend inaccessible tous les services liés en cas d’indisponibilité temporaire ou définitive de cette autorité.
Plus récemment, l’alliance FIDO (Fast IDentity Online) a développé un système d’identification décentralisé qui repose sur des petites appareils qui communiquent avec le navigateur web pour procéder à l’identification, grâce au protocole U2F (Universal 2nd Factor). Une solution robuste et efficace, mais qui est surtout pensée pour renforcer le mot de passe (second facteur) plutôt que de le remplacer et qui souffre pour l’instant toujours d’un manque de support de la part des services en ligne, qui rechignent à adopter ce protocole non standard.
Avec la spécification WebAuthn, les choses devraient enfin changer. Fruit d’une collaboration entre le W3C et l’alliance FIDO, cette spécification vise à inscrire dans les normes du web un nouveau standard pour permettre à un site web d’accéder au travers du navigateur à des périphériques d’identification. Outre les appareils contenant une clé matérielle, comme ceux utilisés avec le protocole U2F, connectés via USB, Bluetooth ou NFC, WebAuthn supportera l’identification biométrique, par exemple avec un lecteur d’empreintes ou une reconnaissance faciale.
La norme prévoit que l’identification soit entièrement réalisée en local par le navigateur, seuls des jetons à usage unique seront échangés entre le navigateur et le serveur distant, ce qui devrait offrir un bon niveau de sécurité contre les interceptions et les attaques par rejeu.
Cette norme devrait arriver très vite dans les navigateurs de Microsoft, Google et Mozilla, qui se sont tous trois engagés à supporter WebAuthn. Du côté de Mozilla et Google, le support sera implémenté dès les prochaines versions des navigateurs, Firefox 60 et Chrome 67, dont les livraisons sont prévues pour le mois prochain.
Ce ne sera sans doute pas la fin définitive des mots de passe, car la plupart des service proposeront ou nécessiteront sans doute toujours un mot de passe comme moyen d’authentification « de secours » lorsque WebAuthn n’est pas disponible, mais d’ici quelques années on pourrait tout de même avoir beaucoup moins recours aux mots de passe, limitant d’autant les risques de vol de ces derniers.