Le W3C a décidé de s’attaquer à l’authentification sur le web. Il vient de former un nouveau groupe de travail centré sur cette thématique et prépare un nouveau standard, basé en bonne partie sur la version 2.0 des API FIDO.

Le World Wide Web Consortium (W3C) veut en finir avec les problèmes d’authentification sur le web, avec en ligne de mire un point bien particulier : les mots de passe. Le W3C aimerait s’en débarrasser si possible, car ils comportent de très nombreuses lacunes, sans même parler du souci principal, à savoir leur création.

Un groupe de travail pour se débarrasser des mots de passe

À de très nombreuses reprises, nous avons abordé la fragilité de cette protection qui n’est souvent pas prise au sérieux par les utilisateurs. Beaucoup se servent d’un même mot de passe pour plusieurs sites, créant une carence manifeste en sécurité pour la protection des données. Couplée à une trop courte réflexion pour leur création, ces mots de passe faibles sont un danger pour la toile : facilement devinables, ils déverrouillent d’un coup plusieurs sites, les utilisateurs les associant la plupart du temps à la même adresse email ou au même pseudonyme.

Ce qu’aimerait le W3C, c’est remplacer cette protection par d’autres. Il est conscient cependant que non seulement c’est impossible en l’état, mais que les alternatives doivent bénéficier du même traitement pour être réellement considérées. Un groupe de travail a donc été créé pour réfléchir à cette problématique. Le Web Authentication Working Group (WAWG) dispose d’ailleurs déjà d’une solide piste sur la direction à prendre.

Au cœur de la future recommandation, les API FIDO 2.0

Il va en effet se fonder sur les API FIDO 2.0, justement proposées par l’alliance FIDO (Fast IDentity Online) pour standardisation. L’objectif global de ces API est de permettre à différentes méthodes d’authentification d’être traitées de la même manière. Pour donner un exemple, la fonctionnalité Windows Hello dans Windows 10, qui permet de s’authentifier avec la webcam, pourrait être reprise et utilisée pour les sites web. En fait, la plupart des fonctionnalités de ce type dans le système sont déjà compatibles avec la version 1.0 des API FIDO.

La version 2.0 généralise l’idée et permet de créer une interface large de connexion dans laquelle les méthodes d’authentification compatibles sont toutes traitées de la manière. Reprise par le WAWG, l’API permettrait alors aux utilisateurs de choisir la méthode qui leur convient, à condition bien sûr que les sites visités soient compatibles avec le standard. Brett McDowell, directeur de l’alliance FIDO, se réjouit évidemment : « Notre mission est de révolutionner l’authentification sur le web à travers le développement et l’adoption globale de spécifications techniques qui supplanteront la dépendance mondiale aux mots de passe avec une authentification forte et interopérable. Avec l’acceptation par le W3C de notre contribution et la création de ce groupe de travail, nous sommes clairement en route vers l’accomplissement de cette mission ».

Un travail qui influera sur d'autres projets

Du côté du W3C, c’est Tim Berners-Lee en personne qui a fait l’annonce du début des travaux. Il manque cependant pour l’instant une information cruciale : le calendrier. Aucune date n’a été fournie pour un premier brouillon de la future recommandation. On sait cependant que le travail effectué aura des répercussions sur la WebCrypto API, qui est elle-même candidate à la recommandation. Idem pour WebAppSec, qui prépare notamment un lot d’améliorations pour l’expérience de connexion via HTTPS.

Notez que les méthodes de connexion sécurisée sans mot de passe existent depuis longtemps. Leur nombre ne cesse même de croitre avec le temps. Cependant, elles requièrent souvent du matériel supplémentaire. Il peut s’agir d’une validation à effectuer sur un smartphone, d’une clé USB ou encore d’une carte. Si les utilisateurs pouvaient exploiter certains capteurs sur leur propre ordinateur, comme une webcam ou un lecteur d’empreintes digitales, pour se connecter aux sites web, le mot de passe pourrait effectivement reculer. Cela étant, il ne faut pas oublier que des méthodes de secours devraient quand même être mises en place pour ne pas bloquer l’internaute s’il n’a plus ces équipements sous la main.