Qu’est-ce que l’authentification FIDO (Fast Identity Online) ?

Auteurs

Gregg Lindemulder

Staff Writer

IBM Think

Matthew Kosinski

Staff Editor

IBM Think

Qu’est-ce que l’authentification FIDO (Fast Identity Online) ?

L’authentification FIDO (Fast Identity Online) est un ensemble de normes ouvertes pour l’authentification sans mot de passe pour les sites Web, les applications et les services en ligne. L’authentification FIDO remplace les mots de passe traditionnels par des clés cryptographiques appelées « clés d’accès », qui sont plus sûres.

Ces clés sont stockées sur l’appareil de l’utilisateur, par exemple un smartphone. Elles permettent à l’utilisateur de se connecter à un site Web ou à une application par les mêmes méthodes que celles utilisées pour déverrouiller son appareil, comme la reconnaissance faciale, les empreintes digitales ou la saisie d’un code PIN.

Selon l’IBM® X-Force Threat Intelligence Index, le vol d’identifiants est l’impact le plus courant auquel sont confrontées les victimes de violations. Les acteurs de la menace ont recours à des attaques de phishing et des logiciels malveillants de vol d’informations pour récupérer ces identifiants, qu’ils peuvent vendre sur le dark web ou employer pour étendre leur portée au sein d’un réseau. Près d’un tiers des cyberattaques impliquent le détournement de comptes d’utilisateurs valides.

L’authentification FIDO permet de minimiser les menaces de cybersécurité que représentent le vol d’identifiants et le détournement de comptes. Les clés d’accès ne peuvent pas être dérobées aussi facilement que les mots de passe. Pour s’introduire dans un compte sécurisé par une clé, un pirate doit accéder à l’appareil de l’utilisateur et réussir à saisir son code PIN ou à contourner la sécurité biométrique.

Newsletter Think

Votre équipe sera-t-elle en mesure de repérer la prochaine attaque de type zero-day à temps ?

Rejoignez les responsables de la sécurité qui font confiance à la Newsletter Think pour obtenir des informations ciblées autour de l’IA, de la cybersécurité, des données et de l’automatisation. Apprenez rapidement grâce à des tutoriels et des fiches explicatives d’experts, envoyés directement dans votre boîte de réception. Consultez la Déclaration de confidentialité d’IBM.

Vous recevrez votre abonnement en anglais. Vous trouverez un lien de désabonnement dans chaque newsletter. Vous pouvez gérer vos abonnements ou vous désabonner ici. Consultez la Déclaration de confidentialité d’IBM pour plus d’informations.

https://www.ibm.com/fr-fr/privacy

Qu’est-ce que la FIDO Alliance ?

La FIDO Alliance est un consortium d’agences gouvernementales, d’entreprises et de sociétés technologiques, dont IBM, Apple, Amazon, Microsoft ou encore PayPal. Le groupe développe et maintient les normes d’authentification FIDO dans le but de réduire la dépendance à l’égard des mots de passe.

La FIDO Alliance a publié le premier protocole FIDO, FIDO 1.0, en 2014. Le dernier protocole, FIDO2, a été développé en coopération avec le World Wide Web Consortium et publié en 2018.

Aujourd’hui, des millions de personnes utilisent l’authentification FIDO pour se connecter à des sites Web et à des applications. Le protocole FIDO2 est pris en charge par les principaux navigateurs, systèmes de connexion unique (SSO), solutions de gestion des identités et des accès (IAM), serveurs Web et systèmes d’exploitation, notamment iOS, MacOS, Android et Windows.

Comment fonctionne l’authentification FIDO ?

L’authentification FIDO emploie la cryptographie à clé publique (PKC) pour générer une paire de clés cryptographiques unique associée au compte d’un utilisateur. Cette paire de clés, appelée « clé d’accès », se compose d’une clé publique détenue par le fournisseur de services et d’une clé privée qui réside sur l’appareil de l’utilisateur.

Lorsque l’utilisateur se connecte à son compte, le fournisseur de services envoie un défi (généralement une chaîne de caractères aléatoires) à l’appareil de l’utilisateur. L’appareil invite l’utilisateur à s’authentifier au moyen d’un code PIN ou d’une authentification biométrique.

Si l’utilisateur s’authentifie avec succès, l’appareil utilise la clé privée pour signer le défi et le renvoyer au fournisseur de services. Ce dernier se sert de la clé publique pour vérifier que la bonne clé privée a été utilisée et, si c’est le cas, accorde à l’utilisateur l’accès à son compte.

Une clé d’accès stockée sur un appareil peut être employée pour se connecter à un service sur un autre appareil. Ainsi, si un utilisateur configure un mot de passe pour son compte de messagerie sur son appareil mobile, il peut toujours se connecter à ce compte sur un ordinateur portable. L’utilisateur devra relever le défi de l’authentification sur l’appareil mobile enregistré.

FIDO prend également en charge l’utilisation de clés de sécurité, également appelées « tokens matériels », en tant que méthode d’authentification. Les clés de sécurité FIDO sont de petits dispositifs physiques dédiés qui peuvent créer des paires de clés et signer des défis. Elles se connectent à d’autres appareils via Bluetooth, des protocoles de communication en champ proche (NFC) ou un port USB. Une clé de sécurité FIDO peut remplacer les données biométriques ou un code PIN dans le processus d’authentification : la possession de la clé authentifie l’utilisateur.

Comme la clé privée est stockée sur l’appareil de l’utilisateur et n’en sort jamais, la possibilité d’une violation de la sécurité est réduite au minimum. Les pirates ne peuvent pas la voler en pénétrant dans une base de données ou en interceptant des communications. La clé publique qui réside chez le fournisseur de services ne contient aucune information sensible et n’est guère utile aux cybercriminels.

Exemple : utilisation de l’authentification FIDO sur un compte de messagerie

Pour configurer l’authentification FIDO sur un compte de messagerie, un utilisateur peut suivre les étapes suivantes :

  1. Dans les paramètres du compte, l’utilisateur sélectionne « clé d’accès » comme méthode d’authentification.

  2. L’utilisateur sélectionne le dispositif sur lequel il souhaite créer la clé d’accès. La plupart des systèmes créent par défaut une clé d’accès sur l’appareil en cours d’utilisation, mais les utilisateurs ont souvent la possibilité de sélectionner un autre appareil qu’ils possèdent.
      
  3. L’appareil sélectionné demande à l’utilisateur de s’authentifier à l’aide de données biométriques ou d’un code PIN.

  4. L’appareil de l’utilisateur crée une paire de clés cryptographiques. La clé publique est envoyée au fournisseur de messagerie et la clé privée est stockée sur l’appareil.

  5. Lors de la prochaine connexion de l’utilisateur, le fournisseur de messagerie envoie un défi à l’appareil de l’utilisateur.

  6. L’utilisateur répond au défi en s’authentifiant à l’aide de données biométriques ou d’un code PIN.

  7. L’appareil renvoie le défi signé au fournisseur de messagerie, qui utilise la clé publique pour le vérifier.

  8. L’utilisateur se voit accorder l’accès au compte de messagerie.

Types de clés d’accès

FIDO prend en charge deux types de clés d’accès : les clés d’accès synchronisées et les clés d’accès liées à un appareil.

Clés d’accès synchronisées

Les clés d’accès synchronisées peuvent être employées sur plusieurs appareils, ce qui les rend plus pratiques. Les gestionnaires d’identifiants tels qu’Apple Passwords, Windows Hello et Google Password Manager peuvent stocker des clés synchronisées et les mettre à la disposition des utilisateurs sur n’importe quel appareil.

Ainsi, un utilisateur peut enregistrer un mot de passe sur un smartphone pour accéder à une application bancaire. Cette même clé est disponible via le gestionnaire d’identifiants lorsque l’utilisateur se connecte à l’application bancaire à l’aide de son ordinateur portable ou de sa tablette.

Clés d’accès liées à l’appareil

Ce type de clé est lié à un seul appareil, ce qui représente le niveau de sécurité le plus élevé.

Les clés d’accès liées à un appareil sont généralement accessibles à l’aide d’une clé de sécurité physique connectée à un appareil particulier. La clé ne peut pas quitter l’appareil, ce qui la rend moins vulnérable aux accès non autorisés.

Les clés d’accès liées à un appareil sont souvent employées pour accéder à des informations très sensibles telles que des données financières, la propriété intellectuelle d’une entreprise ou des documents gouvernementaux confidentiels.

Protocoles FIDO

Les protocoles FIDO ont évolué et se sont améliorés depuis l’introduction de FIDO 1.0 en 2014. Les fonctionnalités des protocoles introduits dans FIDO 1.0 sont incorporées dans les protocoles plus récents de l’authentification FIDO2.

Protocoles FIDO 1.0

Universal Authentication Framework (UAF)

FIDO UAF a été l’un des premiers protocoles développés par la FIDO Alliance. Il permet de se connecter à un service sans mot de passe. Avec UAF, un utilisateur peut s’authentifier directement à partir d’un appareil à l’aide de données biométriques telles que la reconnaissance faciale ou un code PIN.

Universal 2nd Factor (U2F)

U2F a été développé pour fournir une authentification à deux facteurs (2FA) pour les systèmes qui reposent sur des noms d’utilisateur et des mots de passe. Les méthodes 2FA nécessitent un deuxième facteur pour que les utilisateurs confirment leur identité. U2F utilise une clé de sécurité physique comme second facteur.

Après la publication de FIDO2, U2F a été renommé « CTAP1 ».

Protocoles FIDO2 

FIDO2 a introduit deux nouveaux protocoles qui étendent la portée et les capacités des protocoles précédents.

Web Authentication (WebAuthn)

WebAuthn améliore les capacités d’UAF en fournissant une interface de programmation des applications Web (API Web) qui met l’authentification sans mot de passe à la disposition des parties utilisatrices. Le terme « parties utilisatrices » désigne les sites et applications Web qui ont recours à l’authentification FIDO.

Outre l’API, WebAuthn fournit également des normes FIDO qui définissent la manière dont les interactions doivent se dérouler entre l’application Web, le navigateur et un authentificateur tel qu’une clé de sécurité.

Client to Authenticator Protocol (CTAP2)

CTAP2 définit la manière dont un client FIDO, tel qu’un navigateur ou un système d’exploitation, communique avec un authentificateur. Ce dernier est le composant qui vérifie l’identité d’un utilisateur.

Avec le protocole U2F (ou CTAP1), l’authentificateur était toujours une clé de sécurité. CTAP2 prend en charge des authentificateurs supplémentaires résidant sur l’appareil de l’utilisateur, tels que la reconnaissance vocale et faciale, les empreintes digitales ou un code PIN.

Avantages de l’autorisation FIDO

Amélioration de la sécurité

Les mots de passe volés sont l’un des vecteurs de cyberattaque les plus courants. FIDO propose une solution d’authentification sans mot de passe qui atténue cette menace.

Les pirates ne peuvent pas voler les clés d’accès par les moyens habituels. Ainsi, les clés d’accès sont résistantes au phishing, car les utilisateurs ne partagent jamais leurs clés privées directement avec les services. L’authentification de l’utilisateur s’effectue principalement sur son appareil. Même si un service en ligne subit une violation de données, la clé reste inaccessible.

FIDO supprime également le besoin de codes d’accès à usage unique (OTP), que les pirates peuvent intercepter ou falsifier. La clé d’accès FIDO reste protégée sur l’appareil de l’utilisateur et n’est jamais exposée à des systèmes externes.

FIDO prend en charge l’authentification à étapes (MFA), qui exige que les utilisateurs présentent au moins deux facteurs pour vérifier leur identité. Ainsi, pour accéder à un compte protégé par une clé d’accès liée à un appareil, un utilisateur doit avoir deux facteurs (son appareil et ses données biométriques ou un code PIN) pour déverrouiller la clé d‘accès et signer un défi. 
Conformité réglementaire

Les normes FIDO peuvent aider certaines entreprises à se conformer aux réglementations en matière de protection et de confidentialité des données, telles que le règlement général sur la protection des données (RGPD), la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et la loi CCPA (California Consumer Privacy Act).

Plus précisément, FIDO complique le détournement de comptes valides par des utilisateurs non autorisés, ce qui signifie qu’il y a moins de chances que ces utilisateurs accèdent à des données sensibles.
Interopérabilité

FIDO est une norme ouverte compatible avec la quasi-totalité des principaux navigateurs, plateformes, serveurs, applications et appareils. Elle fournit un mécanisme d’authentification robuste que de nombreuses entreprises et services en ligne peuvent mettre en œuvre.
Expérience utilisateur pratique

Beaucoup considèrent que FIDO est plus convivial que les autres solutions d’authentification. Les utilisateurs n’ont pas à se souvenir des mots de passe, à les changer régulièrement ou à s’occuper des processus de réinitialisation et de récupération. FIDO peut également fonctionner sur plusieurs ordinateurs et appareils mobiles sans que les utilisateurs aient à enregistrer chaque appareil séparément.

Cas d’utilisation de l’authentification FIDO

Connexion sécurisée des utilisateurs

Les clés FIDO constituent une méthode plus rapide, plus facile et plus sûre pour l’ouverture de session des utilisateurs. Pour les sites de commerce électronique et les grands fournisseurs de services internationaux, l’authentification FIDO peut améliorer l’expérience des clients et réduire la nécessité de récupérer un compte en cas de perte ou d’oubli d’identifiants.

Les entreprises utilisent l’authentification FIDO pour permettre à leurs employés, fournisseurs, sous-traitants et autres parties prenantes d’accéder rapidement aux ressources de l’entreprise. Par rapport à l’authentification par mot de passe, les clés d’accès FIDO offrent une sécurité et une convivialité supérieures.

Paiements numériques

L’authentification FIDO est souvent employée pour authentifier les acheteurs dans les environnements de commerce électronique, par exemple pour confirmer les paiements par le biais d’applications mobiles. Elle peut également être utilisée pour vérifier l’identité d’un titulaire de carte avant d’autoriser une transaction.

FIDO ne traite pas les paiements, mais s’assure que les personnes sont autorisées à effectuer des transactions, ce qui peut réduire la fraude.

Services publics

Certains organismes publics utilisent désormais l’authentification FIDO pour des activités telles que le traitement des déclarations d’impôts et la vérification des demandes de prestations publiques. Ainsi, le service login.gov, qui offre aux citoyens un point d’accès unique à diverses agences fédérales américaines, l’emploie.
Solutions connexes
Authentification sans mot de passe IBM Verify

Déplacez-vous au-delà de l’authentification de base avec des options sans mot de passe et multi-facteur.

 Découvrez l’authentification sans mot de passe IBM Verify
Solutions de sécurité

Protégez vos environnements de cloud hybride et d'IA avec une protection intelligente et automatisée des données, des identités et des menaces.

 Découvrir les solutions de sécurité
Services de gestion des identités et des accès

Protégez et gérez l'accès des utilisateurs avec des contrôles d'identité automatisés et une gouvernance basée sur les risques dans les environnements cloud hybrides.

         Découvrir les services IAM
    Passez à l’étape suivante

    Découvrez comment l'authentification sans mot de passe peut ajouter une couche supplémentaire de protection à vos comptes et vous donner un contrôle granulaire et contextuel sur l'accès aux applications.

         Découvrez l'authentification sans mot de passe IBM Verify Découvrir les solutions de sécurité