Bientôt le web sans mot de passe ?
Le W3C et la FIDO Alliance se sont mis d’accord sur les caractéristiques techniques d’une API libre (interface de programmation d’application) appelée WebAuthn. Cet outil pourrait avoir un impact considérable sur la manière dont les internautes naviguent sur internet puisqu’il promet de remplacer le mot de passe textuel à entrer au clavier par des intermédiaires biométriques (capteur d’empreinte, reconnaissance faciale).
A l’heure où les smartphones sont quasiment tous équipés de capteur d’empreinte ou de reconnaissance faciale (iPhone X), sur le web il est toujours demandé de rentrer des mots de passe pour s’identifier. Pourquoi est-ce le cas ? Cela fait quelque temps que FIDO Alliance qui regroupe les géants de l’informatique (Google, Microsoft, Mozilla etc) se penche sur la question dans le but de mettre en place une nouvelle façon de s’identifier en ligne.
WebAuthn, le futur du web sans mot de passe
La FIDO Alliance a donc développé une API sous le nom de WebAuthn dont la mission est de trouver une alternative plus sécurisée aux traditionnels mots de passe. Une application qui serait à la fois plus sûre pour les internautes mais également plus libre, de façon à ce que n’importe quelle société ou développeur puisse l’utiliser pour son site web ou ses services en ligne. L’application a été soumise au W3C et depuis peu, elle est disponible sur Firefox. De plus, elle sera disponible d’ici quelques mois sur Chrome et Edge, pas d’informations concernant Safari.
S’identifier à l’aide du capteur d’empreinte de son smartphone
Ce nouveau procédé repose donc sur un système authentificateur physique. Il peut aussi bien s’agir d’un dongle USB, que d’un capteur d’empreinte digitale ou encore d’un système de reconnaissance faciale. Il suffira donc de poser son doigt sur le lecteur d’empreinte digitale de son smartphone pour s’identifier.
En plus d’éviter aux internautes d’avoir à rentrer leurs mots de passe constamment, WebAuthn permet de sécuriser davantage les comptes de ces derniers. En effet, ainsi le site web ne stockera aucun mot de passe. Pirater le compte d’un utilisateur sera donc bien plus compliqué qu’auparavant via un système de phising.
Nouvelle solution, nouvelles limites
La solution de WebAuthn nécessite que l’utilisateur soit systématiquement équipé d’un appareil physique pour s’identifier. Du coup que faut-il faire quand on s’est fait voler cet appareil ? Une autre question se pose alors : Est-il plus facile de se faire voler son mot de passe ou son téléphone ? A chaque nouvelle solution son lot de contraintes.