Les normes d'identité rapide en ligne (FIDO) sont des protocoles d'authentification où la sécurité et l'expérience utilisateur se rencontrent.
Les normes FIDO, développées par une association industrielle ouverte – l'Alliance FIDO, offrent plus de sécurité que les mots de passe seuls ou les codes à usage unique et permettent une authentification rapide, sécurisée et renforcée.
Elle englobe plusieurs techniques d'authentification comme les scans biométriques, les scans d'iris, la reconnaissance vocale ou la reconnaissance faciale. FIDO facilite également les solutions d'authentification existantes telles que les jetons de sécurité, l'authentification par carte à puce, la communication en champ proche (NFC), et plus encore.
Fait intéressant, les origines linguistiques du nom FIDO remontent au mot latin "fido", qui signifie confiance, tel que défini dans le dictionnaire latin de l'Université de Notre-Dame, et est un acronyme approprié pour l'environnement de sécurité, où la confiance est primordiale.
La mission de l'Alliance FIDO est "de réduire la dépendance mondiale aux mots de passe". Ce qui a commencé en 2009 comme la vision de PayPal et Validity Sensors pour une norme industrielle qui permettrait l'utilisation de la biométrie pour l'identification des utilisateurs en ligne au lieu des mots de passe est maintenant devenu cela.
Les membres actuels de l'Alliance FIDO incluent des leaders technologiques mondiaux dans les secteurs de l'entreprise, des paiements, des télécommunications, du gouvernement et de la santé, et incluent des géants technologiques tels qu'Amazon, Alibaba, Facebook et Google. Les sites Web et applications compatibles FIDO atteignent désormais plus de 3 milliards d'utilisateurs commerciaux.
Quelles sont les normes FIDO ?
Les normes FIDO offrent une série de spécifications ouvertes et évolutives comme le cadre d'authentification universel (UAF), le second facteur universel (U2F) et FIDO2, permettant une expérience d'authentification utilisateur plus simple et plus sécurisée.
Il facilite l'identification des utilisateurs avec des systèmes biométriques, l'authentification multi-facteurs (MFA), et d'autres alternatives sur les sites Web et les applications. Il met l'accent sur un modèle centré sur l'appareil, où il utilise la cryptographie à clé publique standard, où un utilisateur est mis au défi de prouver la possession de la clé privée de différentes manières.
Vous voulez en savoir plus sur Logiciel d'authentification multifacteur (MFA) ? Découvrez les produits Authentification multifacteur (MFA).
Comment fonctionne FIDO ?
Lorsqu'un utilisateur crée un compte ou s'inscrit à un service en ligne qui utilise la norme FIDO, l'appareil génère un ensemble de clés cryptographiques. Le système enregistre la clé publique avec les services en ligne et stocke la clé privée sur l'appareil.
Lors de l'authentification, le système met l'utilisateur au défi de prouver la possession de la clé privée. Vous pouvez le faire par différents moyens d'authentification compatibles FIDO comme l'authentification biométrique, la reconnaissance faciale, l'authentification multi-facteurs, et plus encore. Vous pouvez utiliser votre clé privée localement sur l'appareil après l'avoir déverrouillée par des méthodes sécurisées, ce qui inclut le balayage d'un doigt, parler dans le microphone, entrer un code PIN ou appuyer sur un bouton.
Les protocoles FIDO protègent la vie privée de l'utilisateur tout en vous permettant de profiter d'un accès rapide et sécurisé aux services en ligne. En aucun cas, les protocoles FIDO ne fournissent d'informations aux services en ligne avec lesquels ils peuvent collaborer et suivre l'utilisateur à travers les services.
Spécifications FIDO
FIDO fournit les spécifications suivantes pour réduire les redondances de mémorisation de mots de passe complexes et répondre au manque d'interopérabilité entre les dispositifs d'authentification forte.
Cadre d'authentification universel (UAF)
Le cadre d'authentification universel a été publié en 2014 et visait à faciliter l'authentification sans mot de passe par la biométrie. Selon l'UAF, lorsqu'un utilisateur s'authentifie à un service ou une application, il sera mis au défi par un ou plusieurs facteurs de sécurité sur son appareil numérique. Une fois qu'il réussit à les passer, la clé privée sera libérée, ce qui peut aider l'utilisateur à passer un défi émis par le serveur FIDO UAF.
Le mécanisme utilisé par l'utilisateur pour vérifier sur l'appareil peut être biométrique, basé sur la possession ou la connaissance pour obtenir la clé privée et compléter le processus d'authentification. La spécification UAF guide également sur la création et la gestion de plusieurs politiques pour la vérification des transactions. Cette norme FIDO est utilisée par plusieurs organisations pour améliorer leur sécurité et offrir une expérience utilisateur satisfaisante à la fois aux clients et à leurs équipes.
Second facteur universel (U2F)
La norme U2F établit des lignes directrices pour renforcer et simplifier l'authentification à deux facteurs (2FA) en utilisant la communication en champ proche (NFC) ou des dispositifs USB basés sur une technologie similaire aux cartes à puce. Elle a été initialement développée par Yubico et Google avec des contributions de NXP semiconductors.
La conception de la norme tourne autour des dispositifs USB communiquant avec le système hôte en utilisant le protocole de dispositif d'interface humaine (HID), imitant simplement un clavier. Elle permet à un navigateur d'accéder aux fonctionnalités de sécurité du dispositif et élimine le besoin d'installer un logiciel de pilote matériel spécifique pour lire le dispositif USB.
Une fois que l'ordinateur hôte lit le dispositif USB et qu'une communication est établie, une authentification par défi-réponse est effectuée où le dispositif utilise des techniques de cryptographie à clé publique et une clé de dispositif unique. Les navigateurs tels que Google Chrome, Opera, Firefox, Safari et Thunderbird prennent en charge les spécifications U2F en utilisant des clés de sécurité U2F comme méthode supplémentaire de vérification en deux étapes sur les services en ligne.
Protocole client à authentificateur (CTAP)
CTAP permet à un authentificateur cryptographique itinérant tel qu'un téléphone mobile ou une clé de sécurité matérielle d'assurer l'interopérabilité avec un dispositif client comme un ordinateur portable. Il complète la norme WebAuthentication (WebAuthn) publiée par le consortium World Wide Web (W3C).
Le protocole est basé sur la norme d'authentification U2F publiée par l'Alliance FIDO. U2F et WebAuth ont été la base du développement de la norme FIDO 2.0. La spécification CTAP se réfère à deux protocoles CTAP1 et CTAP2. CTAP 1, le nouveau nom pour le protocole FIDO U2F, guide sur l'établissement de la communication entre les authentificateurs compatibles FIDO U2F, et les navigateurs et systèmes d'exploitation compatibles FIDO2 pour permettre l'authentification à deux facteurs.
D'autre part, CTAP 2 définit les moyens par lesquels les navigateurs et systèmes d'exploitation compatibles FIDO2 peuvent communiquer avec des authentificateurs externes comme des appareils mobiles ou des clés de sécurité FIDO pour faciliter l'authentification sans mot de passe, à deux facteurs ou multi-facteurs.
FIDO2
Le but de FIDO2 est de permettre l'authentification sans mot de passe. Il est construit sur U2F et une version étendue de CTAP. La norme permet aux authentifications de devenir sans mot de passe en utilisant l'API web – WebAuthn.
80%
des violations de sécurité exploitent soit des mots de passe volés et/ou faibles.
Source : Knowbe4
FIDO2 élimine le risque causé par une mauvaise gestion des mots de passe car ses identifiants de connexion cryptographiques sont uniques pour chaque site Web et ne sont pas stockés sur un serveur mais localement sur l'appareil de l'utilisateur.
Le flux de communication défini par FIDO2 est :
- Une connexion est établie entre l'application (ou le navigateur) et l'authentificateur.
- L'application reconnaît les capacités de l'authentificateur et obtient des informations à son sujet en utilisant la commande authenticatorGetInfo.
- Une commande d'opération est envoyée par l'application à l'authentificateur si elle est jugée capable.
- L'authentificateur envoie des données de réponse ou un message d'erreur.
Avant d'exécuter ce protocole, il est important que l'authentificateur externe et l'hôte établissent un canal de transport de données sécurisé et mutuellement authentifié.
Qui utilise FIDO ?
FIDO aide les organisations à atténuer les risques critiques d'une violation de données émergeant en raison de mots de passe faibles ou d'une mauvaise gestion des mots de passe. Il permet à votre entreprise d'économiser sur les coûts associés à l'approvisionnement en appareils, à la réinitialisation des mots de passe, au support client, et plus encore, tout en offrant une expérience utilisateur fluide.
70%
est le coût moyen de la main-d'œuvre du service d'assistance pour une seule réinitialisation de mot de passe.
Source : FIDO Alliance
En raison de ces avantages et de nombreux autres, les cas d'utilisation de FIDO se retrouvent dans différentes organisations et institutions.
Santé et assurance
Dans le domaine de la santé, l'authentification FIDO aide à garantir que les détails des patients comme les dossiers médicaux, les informations personnelles et autres données sensibles, ne sont accessibles qu'à eux-mêmes en plus des prestataires de confiance.
Elle assure aux patients que leurs informations reposent entre les mains d'autorités fiables qui adhèrent à des normes comme la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA). Elle enveloppe les systèmes médicaux et les unités de santé d'une forte couche de protection pour prévenir une cyberattaque.
Les compagnies d'assurance utilisent l'authentification en utilisant les protocoles FIDO pour s'assurer qu'elles ont une authentification forte en place.
Organisations d'entreprise
Dans les entreprises, FIDO simplifie le processus d'authentification des utilisateurs en le rendant rapide et pratique tout en fournissant une authentification. FIDO est généralement utilisé pour faciliter l'authentification des utilisateurs dans leur cycle de vie au sein d'une organisation. Il permet aux utilisateurs d'effectuer des transactions de paiement sécurisées et maintient une couche de sécurité protectrice autour de leurs signatures numériques.
Dans les environnements ancrés aux normes d'authentification FIDO, les utilisateurs peuvent posséder différents authentificateurs en même temps, comme un pour un ordinateur portable et un autre pour un appareil mobile. Au moment de l'enregistrement de l'utilisateur, les identifiants FIDO sont enregistrés sur un authentificateur local et sont liés à un compte utilisateur spécifique, qui est utilisé lors de la phase d'authentification.
Par exemple, lorsqu'un utilisateur a perdu l'appareil d'authentification, les normes FIDO permettent aux administrateurs de révoquer et de supprimer les identifiants, qui peuvent être créés sur un autre appareil en suivant le processus d'enregistrement. Dans les cas où les identifiants FIDO doivent être renouvelés, les administrateurs s'assurent que le même niveau de sécurité est appliqué que lors du processus d'enregistrement. Inhérent, la norme FIDO ne prend pas en charge le concept de renouvellement des identifiants, donc tout processus de renouvellement devra être conçu dans le système prenant en charge l'authentification FIDO.
Services financiers
Les banques et les prestataires de services financiers ont élargi leur champ de livraison pour atteindre les clients là où ils se trouvent. Avec la banque en ligne et mobile, les clients peuvent utiliser les services financiers loin des agences désignées, ce qui entraîne une demande accrue pour une sécurité d'authentification robuste.
Les protocoles FIDO répondent à ce besoin en fournissant des normes d'authentification sécurisées pour les banques et les institutions financières, où les utilisateurs sont ravis d'une expérience bancaire simple et directe.
Gouvernement
Les agences gouvernementales peuvent utiliser FIDO pour fournir une authentification multi-facteurs ou mobile rapide et sécurisée aux services en ligne. La norme prend en charge les identifiants de vérification d'identité personnelle dérivés (PIV), ce qui permet l'émission de certificats d'infrastructure à clé publique (PKI) basés sur la possession de cartes à puce PIV. Elle permet aux utilisateurs d'accéder rapidement et en toute sécurité à des informations et applications critiques.
Allez au-delà des mots de passe
Implémentez les normes FIDO pour éliminer les risques associés aux mots de passe faibles ou volés. Équipez votre équipe d'une authentification sans mot de passe pour leur offrir une expérience de connexion fluide tout en maintenant une sécurité robuste autour de vos applications et services en ligne.
En savoir plus sur les types de méthodes d'authentification sans mot de passe que vous pouvez introduire dans votre organisation.
Sagar Joshi
Sagar Joshi is a former content marketing specialist at G2 in India. He is an engineer with a keen interest in data analytics and cybersecurity. He writes about topics related to them. You can find him reading books, learning a new language, or playing pool in his free time.
