L’authentification sans mot de passe sur le Web, c'est pour bientôt

Pourra-t-on un jour se connecter sur un site Web sans avoir besoin d'un mot de passe pour s'identifier ? De nouvelles technologies semblent montrer que c'est le cas et de nombreuses expérimentations sont d'ailleurs en cours.

© 01net.com L’authentification sans mot de passe sur le Web, c'est pour bientôt

Entrez votre identifiant et votre mot de passe … Les habitués des sites Web connaissent la routine et doivent jongler entre une multitude d’identifiants et de sésames. Un vrai casse-tête ! Certes, les navigateurs disposent de fonctions pour enregistrer les mots de passes et il existe des gestionnaires spécialisés tels que KeePass, mais cela est loin de résoudre le problème.

Pourtant, des solutions d’authentification existent déjà grâce à la biométrie. Microsoft (Windows Hello) et Apple (Touch ID et Face ID) permettent de déverrouiller les smartphones, les tablettes et les ordinateurs portables en utilisant l’empreinte digitale ou le visage de l’utilisateur. En outre, Android gère l'authentification par empreinte digitale depuis la version 6.0 de l'OS. Apple va encore plus loin avec son service de paiement Apple Pay puisqu’il suffit d’utiliser son visage ou son empreinte digitale pour valider une transaction. Hélas, ces solutions sont propriétaires, ce qui pose un problème pour disposer d'un système d’authentification universel sur le Web. De plus, pour le moment, il faut passer par un procédé intermédiaire pour se connecter à un site web sécurisé. Ainsi, Apple peut stocker les mots de passe des sites dans le trousseau (iCloud Keychain) de l’utilisateur. Pour accéder au trousseau, il faut alors s’authentifier en utilisant Touch ID ou Face ID. Le gestionnaire de mots de passe 1Password utilise le même procédé qui s’effectue donc en deux temps quand on se connecte sur un site Web et nécessite quand même un mot de passe au niveau du site.

L’idéal serait de pouvoir se passer définitivement de mot de passe et d’utiliser d’autres moyens pour s’authentifier. Bonne nouvelle pour les utilisateurs, l’authentification sans mot de passe est sur le point de devenir une réalité. De nombreuses sociétés travaillent en effet sur de nouvelles technologies pour offrir une connexion simple et sécurisée. L'une des pistes les plus intéressantes est la conception d’un système d’authentification universel pour les sites Web qui puisse s’interfacer avec les technologies biométriques existantes. Telle est la promesse de l’API WebAuthn de l’alliance FIDO (Fast IDentity Online).

L'API WebAuthn pourrait rapidement s'imposer

Le consortium industriel FIDO (plus de 260 membres) propose des solutions d'authentification fortes et surtout interopérables. Il vient de publier le nouveau standard FIDO2 qui comporte en particulier l’API WebAuthn. Cette interface permet l’authentification sur un site Web par l'utilisation de clés publiques et privées. La méthode assure une sécurité élevée car les clés privées ne circulent pas et aucun mot de passe n'est stocké sur le serveur du site. L'interface de programmation peut utiliser le capteur biométrique de l'appareil (lecteur d'empreintes digitales, reconnaissance de l'iris ou du visage) pour valider l'authentification. Cette interface fonctionne également avec les systèmes d’authentification externes (USB, Bluetooth ou NFC) en association avec le protocole CTAP (Client to Authenticator Protocol), second composant du standard FIDO2.

L'un des premiers systèmes externes disponibles est la Security Key de Yubico qui coûte environ 20 euros et remplace le mot de passe lors de la phase d'authentification. Il suffit de la connecter au port USB de l'ordinateur et d'appuyer sur le bouton jaune comportant le dessin d'une clé. La procédure est simple et efficace.

© 01net.com

© 01net.com

Du côté des sites Web, l'adoption officielle de l’API WebAuthn est en bonne voie. Elle en est actuellement au stade de pré-recommandation (« Candidate Recommendation ») pour le consortium W3C. De plus, elle est prise en charge dans les dernières versions des navigateurs Chrome et Firefox. Microsoft a indiqué pour sa part qu’elle sera présente dans la prochaine version de Edge. Seul problème : pour l’instant, aucun service important (Google, Facebook, Twitter) n’utilise WebAuthn. Seul Dropbox fait une timide tentative en utilisant WebAuthn comme second facteur d’authentification.

Le courrier électronique comme moyen d'authentification ?

Une autre approche, testée actuellement par la société Swoop, est plutôt originale : utiliser le système de courrier électronique pour s’authentifier sur un site. En effet, les serveurs de messagerie actuels, par exemple ceux de Gmail, ajoutent dans chaque courrier envoyé une signature électronique appelée DKIM (Domain Keys Identified Mail). La technologie de Swoop va alors utiliser la clé publique contenue dans cette signature pour authentifier l’utilisateur. Ainsi, l’action de cliquer ou de taper sur le bouton de connexion d'un site provoque l’appel au programme de messagerie avec un courrier pré-écrit. Il suffit juste de cliquer sur le bouton d’envoi pour s’authentifier car le message va alors parvenir au serveur du site qui va analyser la signature DKIM.

© 01net.com Image

Vous pouvez tester la fonction DKIM de votre serveur de messagerie sur ce site. Swoop a également prévu une seconde phase de vérification du courrier reçu en utilisant les informations du Sender Policy Framework (SPF), c’est-à-dire les adresses des différents serveurs qui ont fait transiter le courrier électronique.

Utiliser les technologies des cryptomonnaies

Troisième solution : utiliser les applis qui gèrent les comptes de cryptomonnaies pour authentifier les utilisateurs. Une démonstration est actuellement en cours au sein de la fondation DigiByte, qui propose un système de cryptomonnaie concurrent du célèbre Bitcoin. Ce système utilise la technique de la blockchain pour les transactions financières, mais propose aussi une fonction d'authentification baptisée Digi-ID. Cette dernière permet de se connecter sur un site Web en scannant le QR code affiché sur le site, puis en entrant un code PIN sur l'appli. Le code est défini lors de la première utilisation mais peut être remplacé par un système biométrique tel que la lecture d’une empreinte digitale, ce qui est encore plus pratique.

Lorsque l’utilisateur est authentifié au sein de l'appli, cette dernière se charge de transmettre au site Web la confirmation chiffrée de l’authentification, via Internet. L’utilisateur n’a donc rien à faire de plus que scanner le QR Code et entrer son code PIN. De plus, le code sera le même pour tous les sites qui utilisent ce procédé. Digi-ID est un projet open source, mais la technologie de blockchain qu'il utilise est spécifique à la cryptomonnaie de la fondation DigiByte.

Ces nouvelles technologies d'authentification sont prometteuses mais il faudra sans doute attendre quelques années avant que de nombreux sites soient compatibles et que les utilisateurs les adoptent. Et s’il n’y a plus de mot de passe, que se passera-t-il lors de la perte ou du vol de l’appareil qui sert à authentifier l’utilisateur, par exemple le smartphone ou la clé USB ? Il faudra sans doute prévoir une solution de secours, qui pourrait bien être... un mot de passe !