La principale faille de sécurité en informatique d’une entreprise, c’est et ça a toujours été « l’humain », utilisé souvent par le biais du phishing comme dans cette attaque relevée par Microsoft. Et l’un des aspects informatiques les plus simples à exploiter chez l’humain, ce sont ses mots de passe (voir le rapport annuel de NordPass). Cela fait des années que les entreprises telles que Microsoft ou Google cherchent à proposer un monde sans mot de passe. C’est en ce sens que la FIDO Alliance a été mise en place. Et ensemble, ils ont construit la norme WebAuthn.
Table des matières
Qui est la Fido Alliance?
La FIDO Alliance est composée de nombreuses entités avec un but commun: proposer un nouveau monde informatique. Et cela passe par une chose: supprimer les mots de passe. Cela pouvait sembler impensable à l’époque. Tous les discours de sécurité nous le rappellent constamment: avoir des mots de passe forts, différents, partout, et faire de la rotation.
Mais certains acteurs sont allés à contresens de cela. En repensant l’informatique et la sécurité comme elle devrait être. Simple, efficace, et non soumis au bon vouloir de l’utilisateur.
C’est ainsi que ce sont regroupé en 2009 de grande entreprise pour fonder une alliance technologique, dont Paypal faisait partie des fondateurs. Désormais, les acteurs majeurs, mais aussi des agences gouvernementales de part le monde y est présent.
Fido, comment ça marche?
Le but de FIDO est de proposer une authentification basée sur ce que l’on a, et pas ce que l’on sait (voir l’article sur les formes d’authentifications). Pour cela, il faut avoir à disposition un appareil ou un service compatible (comme Windows Hello sur Windows 10 et 11). Cela va permettre d’avoir un « espace de stockage » de vos clés de chiffrement. FIDO repose en effet sur le principe de chiffrement asymétrique.
Pour la suite, c’est assez classique:
- Une phase d’enregistrement: on va s’enregistrer sur un nouveau service, utiliser un protocole FIDO et générer alors nos clés. Le service qui fait la demande peut n’accepter que certaines méthodes d’authentification
- Lors de l’authentification, l’utilisateur va approuver l’utilisation de FIDO, qui va alors chercher la clé correspondant au service. Puis l’authentification est validée
On va voir un peu plus en détail comme ce process fonctionne.
L’enregistrement
- L’utilisateur reçoit une popup pour choisir une méthode d’authentification FIDO qui est acceptée par la politique du service
- L’utilisateur valide la méthode d’authentification. Si c’est le capteur d’empreinte, il devra l’utiliser. Ça peut aussi être une clé de sécurité, un code pin, etc.
- L’appareil de l’utilisateur génère une paire de clés asymétriques unique pour la combinaison appareil / service / utilisateur
- La clé publique est envoyée au service pour être enregistrée en association avec le compte utilisateur. Toutes les autres informations (empreinte, clé privée) sont uniquement sur l’appareil de l’utilisateur.
La connexion
- Le service en ligne envoie une demande utilisateur pour savoir si un enregistrement FIDO qui respecte la politique du service est déjà en place
- L’utilisateur déverrouille l’authentification FIDO en utilisant la même méthode que lors de l’enregistrement
- L’appareil de l’utilisateur valide l’authentification pour le service en sélectionnant la clé correspondante et en appliquant une signature digitale
- La signature digitale est renvoyée au service, qui vérifie avec la clef publique enregistrée que l’utilisateur est autorisé
Et WebAuthN?
La norme du W3C WebAuthN a été rédigée par les membres de la FIDO alliance. Une fois acceptée, cela a permis de donner les spécifications à tout les acteurs de comment elle allait être utilisée.
Cette norme décrit, pour le web, comment mettre techniquement en place WebAuthn. On utilise alors les fonctions, disponibles sur tous les navigateurs récents, pour mettre en place l’authentification FIDO.
Passwordless ou MFA?
Le but derrière tout cela est de proposer un monde sans mot de passe (ou « passwordless »). Effectivement, supprimer les mots de passe pour remplacer cela par un chiffrement asymétrique est, en soi, une raison suffisante pour son adoption. Les mots de passe sont en effet globalement moins sécurisé que le chiffrement asymétrique. De plus, si on veut un mot de passe fort, qui change régulièrement, cela demande de la mémoire ou une certaine logistique. L’utilisation d’outil compatible FIDO2, c’est aussi la promesse de plus de sécurité grâce à plus de simplicité !
On peut aussi utiliser le principe de FIDO comme double authentification (MFA, pour « multi factor authentication »). Ainsi, on garde son mot de passe, et FIDO vient rajouter un process d’authentification supplémentaire. On augmente ainsi notre sécurité en utilisant deux moyens d’authentification différents : quelque chose que l’on a, et quelque chose que l’on connait (voir l’article sur les méthodes d’authentifications).
Quel que soit l’utilisation qu’on en choisit, FIDO est une excellente chose à mettre en place. Mais préférez toujours une sécurité optimale en choisissant la MFA.
Pour plus de détails sur les méthodes d’authentifications et les bonnes pratiques, voir l’article sur la gestion d’identité.
Quel avenir pour FIDO?
Fido et WebAuthn sont des normes assez jeunes. Elles se déploient rapidement, mais il faudra des années avant que cela devienne la norme. Mais l’intérêt est indiscutable. Chaque année, la liste des mots de passe est alarmante. Et elle évolue peu, il suffit de voir cet article pour s’en rendre compte.
FIDO propose une réelle alternative à tout cela.
Par conséquent, à nous aussi de diffuser l’information. De renforcer la sécurité par la mise en place de ces process en entreprise. Et surtout de sensibiliser chacun à la sécurité.