Les experts en cybersécurité affirment toujours que le maillon faible, c’est nous ! On a beau installer des antivirus, des antispams et tous les anti-machins que l’on veut, le point faible se situe toujours entre la chaise et le clavier. Avec WebAuthn, nous n’aurons plus d’excuses si on se fait encore pirater ses comptes en ligne. Voici une authentification plus simple et plus robuste.
Plus de deux ans après son ébauche, la WebAuthn a été approuvée par le World Wide Web Consortium (W3C), l’instance chargée des normes du web. Ce nom à peine prononçable (Web Authentification) est une nouvelle norme d’authentification qui ambitionne de remplacer le mot de passe pour sécuriser nos comptes en ligne. « Cette avancée est un grand pas en avant pour rendre le Web plus sûr ‒ et utilisable ‒ pour les utilisateurs du monde entier », a déclaré le W3C dans son communiqué de presse.
Ce standard pour navigateurs et plateformes en ligne est déjà pris en charge par Windows 10 et Android, ainsi que par Google Chrome, Mozilla Firefox (qui avait commencé à la supporter dès avril 2018), Microsoft Edge et Apple Safari (preview). Les services et applications Web peuvent ‒ et devraient ‒ activer cette fonctionnalité. D’ailleurs, Dropbox a été l’un des premiers à le faire l’année dernière.
Faiblesse du mot de passe
WebAuthn est une API qui permet aux sites de communiquer avec un dispositif de sécurité pour permettre à un utilisateur de se connecter à leur service. Il peut se présenter sous la forme d’une clé de sécurité FIDO (de l’Alliance du même nom, Fast IDEntity Online) que vous branchez simplement sur un port USB de votre ordinateur. Il est également possible d’utiliser un ID biométrique (reconnaissances digitale, faciale ou iris notamment) via le capteur de son ordinateur ou de son smartphone.
Il s’agit donc d’une évolution de la FIDO U2F. Le W3C estime que WebAuthn éliminera de nombreux problèmes associés aux méthodes d’authentification traditionnelles, dont évidemment le fameux binôme login/password.
Démonstrations pour utiliser FIDO2 avec Google et Microsoft
La faiblesse du mot de passe ne réside pas dans son principe en lui-même. Mais dans les caractéristiques retenues (nombre et type de caractères) et de sa gestion. La preuve, tous les ans, c’est la même rengaine : nous utilisons (particuliers et professionnels) des mots de passe « faibles », c’est-à-dire faciles à deviner. Selon le classement publié fin 2018 par SplashData, « 123456 » squatte la première place, suivi de « password ».
Authentification par SMS : des limites
Comme il y a eu une Coupe du monde de football l’an passé, certains ont considéré que « football » était une bonne idée de mot de passe. D’où sa présence à la 16e place.
Les mots de passe volés, « faibles » (du genre « 12345 ») ou conservés par défaut (comme ceux des périphériques connectés…) sont à l’origine de la majorité des atteintes à la protection des données.
Ce binôme représente aussi une perte de temps et de ressources : il faut les ressaisir plusieurs fois par jour (après déconnexion), s’en souvenir, les renouveler tous les six mois environ et les sauvegarder. Quant à la double authentification par SMS notamment, elle n’est pas parfaite et elle reste vulnérable aux attaques de phishing.
Avec FIDO2 et WebAuthn, la communauté technologique mondiale signe peut-être la fin du mot de passe. WebAuthn/FIDO2 présente trois atouts majeurs par rapport à l’authentification traditionnelle :
– des identifiants de connexion cryptographique uniques sur chaque site ;
– aucune information biométrique n’est stockée sur un serveur ;
– impossibilité d’utiliser un identifiant FIDO2 pour différents sites.
En attendant que WebAuthn devienne un réel standard mondial (en étant intégré par tous les sites et applications…), il est indispensable d’appliquer quelques règles de base pour ses accès par mot de passe.
Des attaques automatiques
La facilité n’est guère compatible avec la sécurité. Il ne faut donc pas préenregistrer ses mots de passe dans les navigateurs. Pour deux raisons.
Premièrement, si votre session Windows ne se verrouille pas automatiquement au bout de quelques minutes, une personne mal intentionnée peut ouvrir un navigateur et accéder à vos comptes. Deuxièmement, des applications tierces interceptent les login/password saisis automatiquement.
N’utilisez pas non plus de compte « administrateur ». Ce type de compte permet de tout faire sur un poste de travail et notamment d’installer ou de supprimer un programme. Même si cela est pénible, il est nécessaire d’avoir un mot de passe différent par compte. Avez-vous une clé unique pour ouvrir votre voiture et votre appartement ? Non. C’est la même chose.
Si un pirate réussit à récupérer votre mot de passe, il peut le tester sur de nombreux sites. Les attaques de type « credential stuffing » se multiplient. Cette pratique consiste à lancer un logiciel qui va tester de façon automatique des milliers des combinaisons d’identifiants/mots de passe volés. Nike et Dailymotion ont détecté de telles attaques sur leur réseau ces derniers mois… Le déploiement de WebAuthn devrait à l’avenir limiter ces événements.
