La sécurité sur le web devient une préoccupation majeure ces dernières années et prend une place non négligeable dans les stratégies numériques des Etats à travers le monde, ce qui pousse les grandes entreprises spécialisées en cybersécurité à innover et trouver d’éventuelles solutions aux différentes failles. Ronnie Manning, Vice-Président en charge de la Communication au sein de Yubico revient, dans cet entretien accordé à N’TIC Magazine, sur le nouveau protocole FIDO2 et sur la solution que propose Yubico comme nouvelle authentification sur les navigateurs web.
N’TIC MAGAZINE : D’abord, pouvez-vous éclairer nos lecteurs brièvement sur la signification de la norme WeAuthn, et qu’est-ce que le projet FIDO2 ?
Ronnie Manning : FIDO2 est une norme d'authentification - créée par Yubico, Microsoft et d’autres membres de l’alliance FIDO - qui a été conçue pour fournir une authentification sécurisée dans un large panel de cas, incluant les connexions sans mots de passe. Il faut savoir que la norme FIDO2 est une évolution de la norme FIDO U2F, co-développée par Yubico, dont le but est de promouvoir une authentification à facteurs multiples, pour renforcer les connexions se faisant par mots de passe. Les deux normes (FIDO2 et FIDO2 U2F) reposent sur l’invention de notre société : un modèle de clé publique évolutive qui génère deux clés asymétriques pour chacun des services avec lesquels elle est utilisée, tout en maintenant une totale séparation entre ces différents services afin de garantir une totale sécurité.
Pour dire les choses simplement, FIDO2 comprend deux composantes normalisées : une interface de programmation web et une spécification CTAP (Client to Authenticator Protocol). Les deux composantes fonctionnent ensemble et sont nécessaires pour pouvoir bénéficier d’une connexion sans mot de passe.
N’TIC : Quels genres de menaces peuvent toucher la sécurité des navigateurs existants actuellement, surtout les plus utilisés par le grand public et les institutions à travers le monde (Google Chrome, Mozilla firefox et Opera ) ?
RM : Au fur et à mesure que de nouvelles normes d’authentification, comme FIDO2, sont développées puis certifiées, il est important que les navigateurs intègrent ces normes pour faire en sorte que leurs usagers soient protégés des dangers modernes, comme le phishing ou les attaques par intercepteurs (man in the middle attacks).
N’TIC : Une identification sans mot de passe ? Pouvez-vous nous éclairer un peu plus sur ce sujet ?
RM : Si un service (par exemple Dropbox) intègre WebAuthn et rend l’authentification sans mot de passe possible, alors un usager peut utiliser un dispositif physique compatible avec FIDO2, comme une YubiKey (clé USB), pour se connecter à ce service sans avoir besoin de mot de passe. Au moment de se connecter, l’usager n’aurait qu’à brancher sa clé à un port USB pour s’authentifier.
FIDO2/WebAuthn utilise le même système de cryptographie que FIDO U2F, vérifiant les origines des tentatives de connexion pour prévenir les tentatives de phishing, mais avec le grand avantage de ne pas avoir besoin d’utiliser des mots de passe et des identifiants comme premier facteur de connexion. Ainsi, aucune information ne peut être récupérée à distance. Dans bien des cas, c’est une méthode plus sécurisée que les autres formes d’authentification à facteurs multiples.
N’TIC : En quoi le protocole Yubico est-il révolutionnaire ?
RM : Les caractéristiques relatives à la vie privée et à la sécurité de FIDO/Web Authn sont semblables à celles de FIDO U2F. C’est son niveau de sécurité, associé à la possibilité d’utiliser des méthodes d’authentification sans mots de passe, qui est révolutionnaire. Les personnes qui surfent sur internet disposeront bientôt d’une méthode de connexion fiable, qui non seulement résiste au phishing et aux intercepteurs, mais qui est aussi facile d’utilisation.
Pendant des années, le mot de passe a été la norme en termes d’authentification, bien qu’il offre peu de garanties. A présent, nous en sommes arrivés au point où nos vies personnelles et professionnelles sont presque entièrement digitalisées, ce qui rend la gestion des mots de passe très difficile. Cela conduit à des coûts annexes très importants et à des attaques ciblées sur les serveurs d’accréditation. En remplaçant le mot de passe par une méthode plus simple et plus sécurisée d’authentification, nous transformons complètement la manière dont des millions d’utilisateurs accèderons à leurs informations sur le net.
N’TIC : Combien de temps mettrons-nous pour arriver à la généralisation de ce mode d’authentification ?
RM : La norme a été annoncée récemment, en avril 2018. Déjà, des compagnies majeures du domaine digital et des navigateurs - Microsoft, Dropbox, Chrome et Firefox - ont intégré WebAuthn. Nous nous attendons à ce que cela continue, car le World Wide Web Consortium (W3C) a accepté, et il est officiellement en train de standardiser WebAuthn, ce qui signifie que tous les navigateurs majeurs devront s’engager à l’intégrer. Microsoft Edge travaille dessus, et nous pensons que d’autres suivront plus tard dans au courant de l’année 2018.
N’TIC : Sur vos anciennes solutions, avez-vous des parts de marché en Afrique ?
RM : Nos produits peuvent être envoyés dans toute l’Afrique, et nous avons aussi un distributeur dans cette région, il s’agit de Kernel Africa.