En octobre dernier, Google a mis en place une nouvelle méthode de connexion à ses services web qui repose sur un dispositif plutôt traditionnel : une clé USB. Bien que cette initiative ne sert qu’à remplacer la retranscription du code de sécurité transmis dans le cadre de l’authentification avec validation en deux étapes, l’idée qu’on puisse exploiter cette méthode afin de se débarrasser des mots de passe a traversé l’esprit de certains.
«Aujourd’hui, nous célébrons une réalisation qui déterminera le moment où les jours de l’omniprésence des mots de passe et des NIP seront comptés», a déclaré le président de l’alliance FIDO.
Si bien que le consortium derrière le protocole utilisé par Google publie aujourd’hui la version 1.0 de son format ouvert. Il s’agit en réalité de deux spécifications : le Universal Authentification Framework (UAF) et le Universal 2nd Factor (U2F). Comme vous l’aurez peut-être deviné, le premier protocole jette les bases d’une authentification simplifiée, tandis que le second est conçu pour être exploité dans le contexte d’une validation en deux étapes.
«Aujourd’hui, nous célébrons une réalisation qui déterminera le moment où les jours de l’omniprésence des mots de passe et des NIP seront comptés», a déclaré Michæl Barrett, président de l’alliance FIDO (Fast IDentity Online).
«Les pionniers de l’alliance FIDO pourront à jamais revendiquer avoir inauguré l’ère “post mot de passe”, une nouvelle dimension qui fait déjà sa marque auprès de services Internet et du commerce électronique.»
Une infrastructure à la portée de tout développeur
Plus efficace et plus stable, ce format ouvert offre un support cryptographique pouvant fonctionner sur une foule d’appareils déjà sur le marché. Essentiellement, il sera beaucoup plus facile pour un fabricant de produire un téléphone muni d’un lecteur d’empreinte digitale et pour un développeur de concevoir une application offrant une authentification sans mot de passe sécuritaire qui repose sur ce nouveau standard.
Parmi les membres de l’alliance FIDO, on retrouve Alibaba, ARM, BlackBerry, Google, Lenovo, Microsoft et Samsung sur la liste des plus importantes entreprises du secteur technologique. Du côté des partenaires influents dans le secteur bancaire, on retrouve Discover, MasterCard, Paypal et Visa.
Outre la clé USB proposée par Google, Samsung a travaillé en collaboration avec Paypal afin que le lecteur d’empreinte digitale qui équipe les appareils du fabricant sud-coréen puisse être utilisé pour se connecter au service bancaire américain. L’entreprise Nok Nok Labs quant à elle souhaite aider les développeurs d’applications iOS a intégrer les protocoles du consortium FIDO dans leurs produits afin d’exploiter le lecteur Touch ID de l’iPhone et l’iPad de la même façon (notamment grâce à l’API introduite avec le lancement d’iOS 8).
L’authentification sans mot de passe se démocratise ainsi peu à peu. Selon le contexte, il pourrait bientôt être possible de se connecter à la plupart de nos services web avec une clé USB, l’empreinte digitale, la reconnaissance vocale ou faciale, etc.
Pourvu que la proposition de l’alliance FIDO soit adoptée par une majorité de joueurs importants. La liste actuelle de ses membres nous laisse croire que ça pourrait bien être le cas.