Qu’est-ce que FIDO2 ?

FIDO2 se compose de deux protocoles : Web Authentication (WebAuthn) et Client to Authenticator Protocol 2 (CTAP2). En fonctionnant conjointement, ces protocoles permettent aux utilisateurs de se connecter à un site Web ou à une application sans utiliser de mots de passe classiques.

À la place des mots de passe, l’authentification FIDO2 emploie les mêmes méthodes que celles utilisées pour déverrouiller un smartphone ou un ordinateur portable. Les utilisateurs FIDO2 peuvent s’identifier grâce à la reconnaissance faciale, à un lecteur d’empreintes digitales ou à leur code PIN. Ils peuvent également utiliser un jeton matériel physique appelé clé de sécurité FIDO2.

Comme FIDO2 s’appuie sur la cryptographie à clé publique, il s’agit d’une méthode d’authentification plus sûre que les mots de passe, ciblés souvent par les pirates. Selon l’IBM X-Force Threat Intelligence Index, près d’un tiers des cyberattaques impliquent le détournement de comptes utilisateur valides.

En renonçant aux mots de passe, FIDO2 écarte de nombreuses cybermenaces dont l’hameçonnage, les attaques de type « l’homme du milieu » et le piratage de compte. FIDO2 favorise également une expérience utilisateur plus confortable. En effet, nul besoin de mémoriser des mots de passe, d’en changer régulièrement ni de gérer les processus de réinitialisation et de récupération.

L’authentification FIDO2 s’appuie sur la cryptographie à clé publique pour générer une paire de clés cryptographiques unique, appelée « clé d’accès », associée au compte de l’utilisateur. La paire de clés se compose d’une clé publique, qui reste chez le fournisseur de services, et d’une clé privée, qui se trouve sur l’appareil de l’utilisateur.

Lorsque l’utilisateur se connecte à son compte, le fournisseur de services envoie un défi (généralement une chaîne de caractères aléatoires) à l’appareil de l’utilisateur. L’appareil invite l’utilisateur à s’authentifier en saisissant un code PIN ou en utilisant l’authentification biométrique.

Une fois l’utilisateur identifié, l’appareil utilise la clé privée pour signer le défi et le renvoyer au fournisseur de services. Ce dernier se sert de la clé publique pour vérifier la validité de la clé privée qui a été utilisée et autoriser l’utilisateur à accéder à son compte.

La clé d’accès stockée sur un appareil permet de se connecter à un service sur un autre appareil. Par exemple, si l’utilisateur définit une clé d'accès pour son compte de messagerie sur son mobile, il pourra également s’y connecter à partir d’un ordinateur portable. L’utilisateur devra suivre la procédure d’authentification sur l’appareil mobile enregistré.

FIDO2 permet également l’authentification à l’aide de clés de sécurité comme YubiKey et Google Titan.

Les clés de sécurité, également appelées « jetons matériels », sont de petits dispositifs physiques qui transmettent les informations d’authentification directement au service concerné. La connexion se fait par Bluetooth, grâce à un protocole de communication en champ proche (NFC), ou encore par USB. À la place de leurs données biométriques ou de leur code PIN, les utilisateurs peuvent employer une clé de sécurité FIDO2 pour s’identifier et signer le défi.

Comme la clé privée est stockée sur l’appareil de l’utilisateur et n’en sort jamais, la possibilité d’une violation de la sécurité est réduite au minimum. Les pirates ne peuvent pas la voler en pénétrant dans une base de données ou en interceptant des communications. La clé publique qui réside chez le fournisseur de services ne contient aucune information sensible et n’est guère utile aux cybercriminels.

Supposons qu’un utilisateur souhaite utiliser l’authentification FIDO pour se connecter à son compte de messagerie électronique. Pour créer une clé d’accès et s’identifier à l’aide de cette dernière, il procédera comme suit :

1. Dans les paramètres du compte, l’utilisateur sélectionne « clé d’accès » comme méthode d’authentification.
   
   
2. L’utilisateur sélectionne l’appareil sur lequel il souhaite créer la clé d’accès. Cet appareil est généralement celui qu’il utilise régulièrement, mais il peut également s’agir d’un autre appareil qu’il possède.
   
   
3. L’appareil sélectionné demande à l’utilisateur de s’identifier à l’aide de la biométrie, d’un code PIN ou d’une clé de sécurité.
   
   
4. L’appareil de l’utilisateur crée une paire de clés cryptographiques. La clé publique est envoyée au fournisseur de messagerie et la clé privée est stockée sur l’appareil.
   
   
5. Lors de la prochaine connexion de l’utilisateur, le fournisseur de messagerie envoie un défi à l’appareil de l’utilisateur.
   
   
6. L’utilisateur répond au défi en s’identifiant à l’aide de ses données biométriques, d’un code PIN ou d’une clé de sécurité.
   
   
7. L’appareil renvoie le défi authentifié au fournisseur de messagerie, qui utilise la clé publique pour le vérifier.
   
   
8. L’utilisateur se voit accorder l’accès au compte de messagerie.

FIDO2 prend en charge deux types de clés d’accès : les clés d’accès synchronisées et les clés d’accès liées à un appareil.

Les clés d’accès synchronisées peuvent être employées sur plusieurs appareils, ce qui les rend plus pratiques. Les gestionnaires d’identifiants tels qu’Apple Passwords, Windows Hello et Google Password Manager peuvent stocker des clés synchronisées et les mettre à la disposition des utilisateurs sur n’importe quel appareil.

Prenons l’exemple d’un utilisateur qui obtient une clé d’accès pour accéder à une application bancaire à l’aide de son smartphone. L’utilisateur pourra accéder à cette clé dans le gestionnaire d’identifiants lorsqu’il se connectera à l’application bancaire à l’aide de son ordinateur portable ou de sa tablette.

Ce type de clé est lié à un seul appareil, ce qui représente le niveau de sécurité le plus élevé.

Les clés d’accès liées à un appareil sont généralement accessibles à l’aide d’une clé de sécurité physique connectée à un appareil particulier. La clé ne peut pas quitter l’appareil, ce qui la rend moins vulnérable aux accès non autorisés.

Les clés d’accès liées à un appareil sont souvent employées pour accéder à des informations très sensibles telles que des données financières, la propriété intellectuelle d’une entreprise ou des documents gouvernementaux confidentiels.

En 2013, un groupe d’entreprises technologiques fondait l’Alliance FIDO. Son objectif était de réduire la dépendance à l’égard de l’authentification par mot de passe, et ce à l’échelle mondiale.

Un an plus tard, l’alliance proposait la norme FIDO 1.0, composée de deux protocoles : Universal Authentication Framework (UAF) et Universal Second Factor (U2F). La nouvelle norme a jeté les bases de l’authentification sans mot de passe, mais sa portée était limitée.

Par exemple, FIDO 1.0 visait principalement à compléter l’authentification par mots de passe par un second facteur, au lieu de l’éliminer complètement. Il manquait également une normalisation qui aurait permis de l’adopter facilement sur une variété de plateformes, d’applications et de navigateurs Web.

FIDO Alliance a corrigé ces limites en publiant les deux nouveaux protocoles FIDO2, le protocole Client-to Authenticator 2 (CTAP2) et l’authentification Web (WebAuthn), en 2018.

CTAP2 fournit une expérience d’authentification sans mot de passe, en une seule étape. WebAuthn simplifie l’adoption de FIDO grâce à une interface de programmation d’application (API) standardisée, basée sur un navigateur. Cette fonctionnalité étendue a permis une adoption généralisée de FIDO2 comme norme d’authentification pour les sites Web, les applications et les services en ligne.

Aujourd’hui, des millions de personnes utilisent l’authentification FIDO2 pour se connecter aux sites Web et applications. La norme FIDO2 est prise en charge par la plupart des appareils, navigateurs Web, systèmes d’authentification unique (SSO), solutions de gestion des identités et des accès (IAM), serveurs Web et systèmes d’exploitation, notamment iOS, MacOS, Android et Windows.

2013 : l’Alliance FIDO est fondée dans le but de réduire la dépendance à l’égard de l’authentification par mot de passe.

2014 : publication de FIDO 1.0.

2015 : les normes FIDO commencent à être reconnues dans le monde entier. L’Alliance FIDO compte plus de 250 membres, dont des entreprises comme Microsoft, Google, PayPal et Bank of America.

2016 : l’Alliance FIDO commence à travailler sur FIDO2. Le groupe collabore avec l’influent World Wide Web Consortium pour que la nouvelle norme soit prise en charge par les différents navigateurs et plateformes Web.

2018 : FIDO2 vient étendre les capacités de FIDO 1.0.

2020 : FIDO2 est pris en charge et mis en œuvre sur les principaux navigateurs Web et systèmes d’exploitation, notamment Firefox, Chrome, Edge, Safari, Android, iOS et Windows.

2024 : l’Alliance FIDO annonce que plus de 15 milliards de comptes utilisateurs dans le monde peuvent utiliser l’authentification FIDO2.

Si les deux permettent l’authentification sans mot de passe, FIDO2 étend considérablement la portée et les fonctionnalités de la norme FIDO grâce à une authentification forte, 100 % sans mot de passe, prise en charge sur les appareils mobiles, les ordinateurs de bureau ou les clés de sécurité.

FIDO2 simplifie la connexion en renonçant au mot de passe comme premier facteur d’authentification à étapes (MFA). Une API Web standardisée est également fournie pour faciliter l’adoption.

Pour obtenir une image plus claire de la différence entre FIDO 1.0 et FIDO2, il est utile d’examiner les protocoles spécifiques qui sous-tendent chaque itération de la norme. 

FIDO UAF a été l’un des premiers protocoles développés par la FIDO Alliance. Il permet de se connecter à un service sans mot de passe. Au lieu d’un mot de passe, un utilisateur peut s’authentifier directement à partir d’un appareil à l’aide de données biométriques telles que la reconnaissance vocale ou faciale, ou un code PIN.

Cependant, le manque de standardisation de l’UAF compliquait son intégration et sa mise en œuvre dans les différents navigateurs Web, applications et serveurs. Cette interopérabilité restreinte limitait son adoption.

FIDO U2F a vu le jour pour rendre possible l’authentification à deux étapes (2FA) sur les systèmes auprès desquels l’identification se fait par nom d’utilisateur et mot de passe. La 2FA demande aux utilisateurs de fournir un second élément pour confirmer leur identité. U2F utilise une clé de sécurité physique comme second facteur d’autorisation. Après la publication de FIDO2, la norme U2F a été rebaptisée « CTAP1 ».

La dépendance d’U2F à l’égard des clés de sécurité physiques au lieu d’un plus large éventail d’appareils, tels que les smartphones et les ordinateurs portables, était un facteur limitant pour son adoption.

WebAuthn étend les capacités UAF grâce à une API Web qui rend l’authentification sans mot de passe facilement accessible aux parties utilisatrices. Le terme « parties utilisatrices » désigne les sites et les applications Web qui ont recours à l’authentification FIDO.

WebAuthn fournit également des normes FIDO qui définissent la manière dont les interactions doivent se dérouler entre l’application Web, le navigateur et l’élément d’authentification (par exemple, données biométriques ou clé de sécurité).

CTAP2 définit la manière dont un client FIDO, tel qu’un navigateur ou un système d’exploitation, communique avec un authentificateur. Ce dernier est le composant qui vérifie l’identité d’un utilisateur. Avec le protocole U2F (ou CTAP1), l’authentificateur était toujours une clé de sécurité. CTAP2 ajoute des authentificateurs supplémentaires qui résident sur l’appareil de l’utilisateur, tels que la reconnaissance biométrique vocale et faciale, les empreintes digitales ou un code PIN.