Logo sécuritéLors du Briefing Calipia de juin nous avions consacré une session aux mots de passes et aux problèmes qu’ils posent en termes de sécurité, en évoquant la volonté stratégique des principaux acteurs du numérique de s’en débarrasser à tout prix en généralisant l’usage de l’authentification basée sur des associations de clés privées / publiques, plutôt que sur les condensats cryptologiques facilement cassables et très sensibles aux techniques d’hameçonnage.

Après l’introduction de Hello for business, des comptes Microsoft, de Microsoft authenticator ou d’évolutions concernant Azure AD (avec dernièrement les annonces de Azure AD Password Protection et Smart Lockout), Microsoft a annoncé la prise en charge officielle de la spécification WebAuthn (ou Web Authentication) dans son navigateur Microsoft Edge, qui a été implémentée dans le dernier build de Windows 10 Redstone.

Pour rappel, WebAuthn est une norme de sécurité qui a été développée par le World Wide Web Consortium (W3C) et la FIDO (Fast IDentity Online) Alliance. Publiée fin mars en tant que recommandation W3C, WebAuthn permettra à tout site Web ou service en ligne d’utiliser des applications, des clés de sécurité ou des données biométriques comme méthode de connexion plutôt que les mots de passe, ou d’utiliser ces approches alternatives comme deuxième méthode de vérification. Cette norme vise donc à éliminer la nécessité de saisir des mots de passe, lorsque les utilisateurs se connectent à Internet, ce qui complète l’arsenal technologique basé sur OpenID Connect / Oauth 2.0 / WS-Federation / SAML pour la fédération d’identités et Fast IDentity Online 2.0 (FIDO) pour l’authentification multi-facteurs sur Internet.