Passer au contenu

Un web sans mots de passe est en train de devenir une réalité

Le World Wide Web Consortium valide l’utilisation de l’API d’authentification WebAuthn qui va permettre de s’authentifier autrement qu’avec des mots de passe.

Les mots de passes font partie de notre quotidien, et ils sont toujours plus nombreux. Pour la grande majorité d’entre nous, les retenir tous est un véritable calvaire. Et leur sécurité est loin d’être infaillible. Mais nous sommes en 2019, les technologies ont évoluées, et il se pourrait bien que les mots de passe soient bientôt de l’histoire ancienne.

La raison à cela, c’est que le World Wide Web Consortium (W3C) vient d’approuver la technologie WebAuthn. Il s’agit d’une nouvelle méthode d’authentification qui repose sur une API qui permet aux sites web d’accéder aux systèmes d’authentification installés ou connectés à un appareil. Autrement dit, il sera bientôt possible d’accéder à sa boîte mail où à son compte en banque à l’aide d’une clé de sécurité FIDO connectée à l’ordinateur, ou du capteur d’empreinte digitale intégré au smartphone. Bonus, cette nouvelle méthode d’authentification serait plus sécurisée que les mots de passe.

Cette acceptation de WebAuthn par le W3C était la dernière étape avant de voir le système d’authentification devenir monnaie courante. Le protocole est déjà supporté par presque tous les navigateurs (Chrome, Firefox, Edge et Safari). Reste donc aux sites web et services de supporter l’API pour rendre petit à petit les mots de passe obsolètes. Dropbox et Microsoft sont parmi les premiers à l’avoir adopté.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

11 commentaires
  1. Ce ne sont pas les empreintes qui sont envoyées aux sites web avec ce mode d’authentification, mais seulement la validation de l’authentification.

  2. Ou peut-être qu’il le maîtrise en fait ?

    OK, c’est pas obligatoire, donc ça va, mais passer par une empreinte digitale nécessite de stocker au moins sa signature quelque part, avec les risques de fuite et d’utilisation, même si ce ne sont pas les sites qui possèdent ces données, ça peut être ton téléphone, ta clé, etc.

    Avec une telle donnée, on peut usurper ton identité à peu près n’importe où. On ne peut plus séparer les accès site par site comme on peut le faire avec des mots de passe. C’est une grosse régression.

    De plus, on continue à assimiler authentification et identification. L’empreinte digitale sert à identifier, pas authentifier. ça devrait remplacer le login, pas le mot de passe… Mais cet amalgame, il est trop tard pour le changer tellement les idées reçues ont été assimilées même par “ceux qui maîtrisent le sujet”…

  3. je me pose une question, ce type d’authentification (empreintes …)  implique-t-il un id unique pour tous les sites web ou on est inscrit qui faciliterais d’éventuel recoupement de données et autres

  4. Franchement, 
    Pour l’avoir vécu, j’ai toujours dit que le capteur d’empreinte digital c’est juste du n’importe quoi…

    Enfin pour les “bobos”, ceux qui laissent leurs 10 doigts dans le fond du cul, bien au chaud, bien protégés, il n’y a pas de problème,

    Mais pour l’ouvrier (enfin quelqu’un qui utilise ses 10 doigts) qui se charcute un doigt sur une brûlure ou une coupure, mon préféré : simplement de la peinture, c’est moins drôle…

    Attendre plusieurs jours que cela cicatrise, perso moi à l’époque j’ai formaté le pc…

    Courage pour les Nomophobes 🙂

  5. Il y a d’autre solution que le capteur d’empreinte d’après l’article, comme la clé FIDO. Si ton mode de vie ne permet pas l’usage de l’un, peut être que l’autre fera l’affaire ?

  6. @Karreg : tout à fait. Utiliser un élément en informatique nécessite qu’il soit stocké quelque part et donc accessible (en étant autorisé ou non).
    Également, un mot de passe est plus simple à changer qu’une empreinte.

    @Shadam : c’est toujours génial les gens qui critiquent sans argumenter derrière.

  7. @Midas : l’appareil stockant les informations de l’empreinte n’est pas infaillible.
    Également comme dit dans une autre réponse, il est plus simple de changer de mot de passe que d’empreinte en cas de problème.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Mode