Qu’est-ce que WebAuthn ? Comment fait-il évoluer l’Authentification Web

by Alexandre Dedourges, DevSec

Il ne s’agit pas exactement d’abandonner l’usage des mots de passe. En réalité, ce sont d’autres méthodes d’authentification qui sont utilisées comme la biométrie avec la reconnaissance faciale ou vos empreintes digitales ou un token matériel cartes à puce, les tokens USB etc.

Le WebAuthn est une spécification API JavaScript qui permet aux applications d’incorporer une authentification sécurisée pour des scénarios à facteur unique ou multiple. Cela aide à renforcer la sécurité des applications en contribuant à améliorer l’expérience utilisateur et à empêcher les attaques par hameçonnage. 

 

On vous en dit davantage sur cette technologie sans mot de passe dans notre article. Et comment elle fonctionne, qui en est à l’origine, et beaucoup d’autres éléments ci-dessous. Bonne lecture !

Qu’est-ce que WebAuthn ?

WebAuthn, ou l’API d’Authentification Web renvoient à une spécification API JavaScript. Il permet l’authentification d’applications web sur des navigateurs compatibles à travers un authentificateur tels que vos empreintes digitales, la reconnaissance faciale (biométrique) ou du matériel sécurisé.

De nos jours, la plupart des plateformes et navigateurs (Chrome, Safari, Edge, Firefox, …) ont adopté cette spécification d’authentification pour une expérience utilisateur optimisée dépourvue de mots de passe. WebAuthn est un excellent moyen d’améliorer la sécurité des applications web. De plus, il empêche même les risques d’hameçonnage, et les utilisateurs n’auront pas à entrer leur mot de passe à chaque fois qu’ils tentent d’accéder à leurs applications favorites.

On peut affirmer que pour les sites web, WebAuthn est un choix d’authentification aisé qui permet de mieux protéger les comptes utilisateurs. Par exemple, si les utilisateurs n’ont pas de mot de passe, alors il n’y aura aucun problème lié au vol de celui-ci. 

Comment fonctionne WebAuthn ?

Les flux d’authentification de WebAuthn sont relativement simples. Lorsque l’utilisateur se rend sur une plateforme ou un navigateur, il n’a pas besoin d’entrer ni de sauvegarder son mot de passe. À la place, il peut utiliser n’importe quel facteur extérieur pour authentifier son accès à l’application web. 

En l’occurrence, le navigateur ou la plateforme exige un authentificateur de confiance pour vous permettre d’accéder aux applications web désirées. L’authentificateur peut aller d’une empreinte digitale à la reconnaissance faciale, en passant par un token matériel. Puisque l’authentificateur que vous renseignez est déjà reconnue comme fiable, il n’est pas nécessaire d’enregistrer des mots de passe sur le site lui-même. En résumé, WebAuthn fait de l’authentificateur un intermédiaire qui vous permet d’accéder aux applications web.

L’authentificateur confirme que vous êtes réellement qui vous prétendez être, puis le serveur web reçoit la confirmation cryptée à travers le navigateur.

Par conséquent, on peut dire que WebAuthn crée une interface qui vous permet d’utiliser une authentification sans mot de passe sur les applications web à travers le navigateur ou la plateforme que vous utilisez. 

 

Qui a créé WebAuthn ?

Le World Wide Web Consortium (W3C) a publié WebAuthn ou l’Authentification Web. C’est la composante principale du projet FIDO2 guidé par l’Alliance FIDO. Microsoft Edge, Firefox, Chrome et Yubico ont également contribué au projet. Celui-ci vise à standardiser l’interface d’authentification des utilisateurs pour les applications web.

Comment WebAuthn changera-t-il la façon dont opère l’authentification web ?

Les mots de passe peuvent être vulnérables, car aussitôt qu’ils sont volés, votre sécurité est réduite à néant. En outre, les utilisateurs ont tendance à réutiliser les mêmes mots de passe entre leurs différentes applications web. Certains utilisateurs utilisent même des mots de passe faibles qui sont faciles à pirater. C’est pourquoi il est bien plus facile pour les hackeurs de pirater un compte qui est sécurisé par le biais d’un mot de passe. 

WebAuthn est une méthode d’authentification plus robuste qui protège à la fois le web et ses utilisateurs. Il va au-delà de la simple combinaison de lettres et de chiffres pour créer un mot de passe. Sa faculté d’authentification unique est basée sur une technologie innovante. Dans un monde en constante évolution qui fait la place belle à la technologie de pointe, WebAuthn a fait une entrée remarquée. C’est un nouveau standard d’authentification web qui mène à une sécurité plus robuste, au-delà de ce qu’on avait pu imaginer jusque-là. 

 

Même le système d’authentification multifacteurs est vulnérable. Pourquoi ? Car même si vous avez un second facteur en plus d’un mot de passe solide, vous pourrez toujours tomber entre les griffes du phishing. En outre, vous pourriez entrer ces identifiants sur le site du pirate ou vous retrouver piégé par un maliciel. Cependant, WebAuthn change la donne. En effet, on peut dire qu’il crée une révolution dans les processus traditionnels d’authentification web. 

Pourquoi WebAuthn offre-t-il plus de sécurité ?

Cela fait longtemps que nous utilisons des mots de passe pour sécuriser nos informations en ligne. Cependant, nous évoluons de jour en jour, et la façon dont nous sécurisons nos informations confidentielles en fait de même. Vous vous êtes peut-être demandé, en renseignant vos identifiants sur un site internet, ce qui se passerait s’ils étaient divulgués ? Votre mot de passe pourrait alors être utilisé à des fins douteuses, ce qui conduirait à un effet boule de neige.

WebAuthn, en revanche, ne requiert aucun mot de passe. Il ne vous demande pas comme prérequis d’entrer un mot de passe pour accéder à une application web. À la place, il apporte un nouveau facteur dans l’équation. Il requiert un jeton d’authentification unique à chaque fois que vous vous connectez. Vous pouvez le faire en utilisant des éléments qu’aucun pirate ne peut subtiliser, comme vos empreintes digitales ou d’autres facteurs d’authentification externes.

Les avantages de WebAuthn

Pour tout site, application web ou système d’opération requérant une authentification, WebAuthn est particulièrement avantageux. En voici quelques raisons :

 

Sécurité renforcée

WebAuthn crée un nouveau standard en termes d’authentification. Par conséquent, il conduit à une amélioration de la sécurité de l’utilisateur. De plus, il permet une authentification à l’aide d’un système de clef publique qui est plus robuste que les autres systèmes d’authentification. 

Flexibilité d’authentification

Le système WebAuthn est flexible en cela qu’il permet aux utilisateurs de personnaliser leur authentification forte à facteur unique ou multiple. De plus, ils peuvent la personnaliser en fonction du système sur lequel ils y accèdent.

 

Rentabilité

WebAuthn est rentable. Puisqu’il met fin aux mots de passe, les coûts de productivité qui y sont liés se voient réduits. De plus, il diminue également les coûts de support tels que l’assistance apportée aux utilisateurs pour réinitialiser leur mot de passe. Enfin, éviter les mots de passe permet d’alléger la pression sur les ressources IT puisqu’elles n’ont plus besoin de gérer les identifiants.

 

Friction réduite

Incorporer WebAuthn dans le mode d’authentification traditionnel peut être hautement avantageux puisqu’il réduit les points de friction des utilisateurs. En outre, il permet une expérience fluide en termes d’authentification.

 

Standardisation

L’introduction de WebAuthn dans le système d’authentification web a conduit à un changement significatif dans la façon dont les sites authentifient un utilisateur. De plus, elle a conduit à la standardisation d’une méthode d’authentification robuste sur les différents sites internet, applications web et systèmes d’opérations.

UX fluidifiée

L’implémentation de WebAuthn remplace l’ancienne méthode de renseignement d’un mot de passe par des méthodes d’authentification uniques telles que la lecture d’empreintes digitales ou l’utilisation d’une clef de sécurité. Cela permet aux utilisateurs d’avoir une meilleure expérience. Ils n’ont pas à passer par le processus fastidieux des mots de passe ou des codes reçus par SMS.

 

Productivité renforcée

Parfois, il peut s’avérer frustrant et chronophage de chercher des mots de passe. De plus, si un utilisateur oublie son mot de passe, alors la tracasserie de le réinitialiser peut être rédhibitoire. À l’inverse, WebAuthn offre une option qui fait gagner du temps, où les utilisateurs n’ont plus à consacrer leur temps précieux à la recherche ou au changement de mots de passe. 

 

Les facteurs d’authentification supportés par WebAuthn

Il existe plusieurs facteurs d’authentification matériels supportés par WebAuthn :

 

Biométrie

WebAuthn supporte les outils d’authentification biométrique. On retrouve la reconnaissance vocale, faciale, rétinale ou digitale, ce qui permet au site/navigateur de reconnaître un utilisateur qui tente de se connecter. On peut connecter de tels authentificateurs en utilisant divers dispositifs comme le Bluetooth, un port USB ou la technologie NFC. En parallèle, l’utilisateur peut s’authentifier à travers sa localisation pour une sécurité renforcée.

Clefs de sécurité

Les clefs de sécurité sont similaires aux scanners biométriques. L’utilisateur peut aussi les utiliser en se connectant via Bluetooth, port USB ou NFC. Ces appareils permettent une authentification plus forte. Ils sont aussi connus sous le nom de jetons d’authentification. 

 

Dispositifs biométriques

Vous avez peut-être déjà remarqué les dispositifs biométriques étant donné qu’ils sont largement utilisés aujourd’hui. Par exemple, certains iPhones, Macs et Android supportent l’authentification biométrique avec notamment TouchID, FaceID, etc. 

 

YubiKeys

Les YubiKeys sont semblables aux clefs de sécurité en termes de fonctionnalité. En revanche, ces clefs-là ont ajouté des mesures de sécurité pour accueillir les OTP (mots de passe à usage unique ou one-time passwords). Lorsque les utilisateurs connectent les Yubikeys à un appareil, ils peuvent obtenir un OTP pour accéder à l’authentification.

 

WebAuthn et l’authentification à 2 facteurs

WebAuthn est un moyen iconique d’identifier un utilisateur. C’est une méthode d’identification à facteur unique. Supposez que vous tombez dans les pommes et que quelqu’un utilise votre empreinte digitale pour accéder à votre compte web. C’est là qu’intervient l’authentification à 2 facteurs, qui comprend au moins 2 des 3 éléments suivants :

●  Mot de passe

●  Quelque chose que vous possédez (un jeton, une clef ou une smartcard)

●  Quelque chose qui vous est propre (empreinte digitale, visage, rétine)

Bien que WebAuthn soit exceptionnel, l’utiliser en plus d’un mot de passe est préférable à toute autre méthode pour la sécurité de votre compte.

 

WebAuthn peut-il devenir une réalité ?

WebAuthn est déjà utilisé. Les utilisateurs peuvent remarquer combien son usage s’est déjà répandu. Android, Windows 10, Mozilla Firefox, Google Chrome, Apple Safari, et Microsoft Edge supportent tous cette avancée technologique.  

Maintenant, tout dépend si les sites web choisissent d’implémenter WebAuthn sur leur site ou non. Cela peut être avantageux à la fois pour les utilisateurs et pour les propriétaires de sites ou de plateformes. Cela permet l’augmentation de la productivité des utilisateurs et la baisse des coûts pour les propriétaires de sites. En outre, il est crucial de former les gens aux enjeux de sécurité et à WebAuthn. Tant que les utilisateurs ne comprennent pas l’importance de la sécurité et comment celle-ci peut être améliorée, faire de WebAuthn une réalité à travers le monde ne sera pas possible. 

 

Conclusion

WebAuthn est comme une vague qui vous embarque vers le futur. Il mène à un avenir sans mot de passe et doté d’une authentification sécurisée. De plus, il fait office de cadre qui permet aux individus d’évoluer dans une direction sécurisée.

 

Bien qu’il s’agisse d’une nouvelle spécification, nous pouvons tout de même déceler sa dynamique grandissante. Il n’est pas disponible sur tous les sites ou plateformes, mais des navigateurs et des systèmes d’opération de premier plan le supportent. Il permet aux utilisateurs de s’éloigner des risques des comptes gérés par des mots de passe, mais il rend également les comptes imperméables aux menaces externes et d’hameçonnage. Ainsi, le vol des données n’est plus possible en la présence de WebAuthn.

Quand un nombre croissant de systèmes commenceront à adopter WebAuthn, le monde basculera vers une sécurité web renforcée par le biais de l’authentification, y compris les vérifications biométriques et celles basées sur la possession.

Add enterprise SSO for free

Cryptr simplifies user management for your business: quick setup, guaranteed security, and multiple free features. With robust authentication and easy, fast configuration, we meet businesses' security needs hassle-free.

More articles

SAML vs SSO: Differences between SSO and SAML authentication

Uncover the key differences between SAML vs SSO in user authentication. How SAML enables SSO and their roles in enhancing identity security and login processes

Read more

A guide of Magic Link Login for Passwordless Authentication

Unlock passwordless authentication with email magic links! boost security and user experience. Discover our comprehensive guide to email magic link login

Read more