Le Progrès Technique

p-technique

L'essentiel de l'information industrielle du moment

La certification FIDO vient d'être accordée à 18 entreprises, dont Google et Samsung, pour 31 de leurs produits et services.


FIDO pourrait remplacer l'authentification par mot de passe
En juillet 2012, plusieurs grandes entreprises ont créé la FIDO Alliance (Fast IDentity Online), pour trouver une alternative sécurisé et facile d'utilisation aux mots de passe. Les membres de ce consortium sont des géants des technologies de l'information et de la finance. On compte parmi eux Google, Microsoft, Lenovo, Samsung Electronics, BlackBerry, ARM Holdings, Bank of America Corporation, PayPal, RSA, Visa ou encore Synaptics.

Fin 2014, la FIDO Alliance a publié les spécifications de deux systèmes d’authentification. Le premier est décrit comme « un protocole sans mot de passe » et porte le nom de « Universal Authentication Framework (UAF) ». Ce protocole se base sur l’utilisation de l’authentification biométrique comme les empreintes digitales, la reconnaissance des visages ou encore la reconnaissance de la voix à travers une interface simple d'utilisation. Le deuxième protocole, baptisé « Universal Second Factor (U2F) », est destiné aux infrastructures qui utilisent un système de mot de passe, et qui le renforce par l’introduction d’un second facteur d’authentification sous forme d’un périphérique externe (ex : clé USB, Bluetooth, NFC…). Ceci permettrait de diminuer la longueur des mots de passe (4 chiffres), rendant leur mémorisation plus facile pour les utilisateurs, comme c’est déjà le cas pour les cartes de crédit.
 
Selon la FIDO, la valeur ajoutée de ce protocole tient au fait que « l’authentification se passe en local et non dans le serveur distant », ce qui permet de ne pas stocker les informations privées de l’utilisateur chez le fournisseur de service. De plus, cela permettrait d’éviter toute forme de tracking de l’utilisateur sur le web. La FIDO ambitionne également de standardiser l'expérience utilisateur en la rendant la plus ergonomique et simple possible. Le client pourrait même être « préinstallé dans le système d’exploitation ou dans le navigateur ». Enfin, la FIDO parit sur le fait que les deux protocoles pourraient limiter les vols d'identifiants et de mots de passe. 
 
Ainsi, la FIDO vient de décerner ses premières certifications à Google et Samsung. Un article du Figaro remarque que "Apple, qui a n'a pas pour habitude de collaborer avec ses rivaux, est l'un des grands absents de l'Alliance FIDO. L'entreprise développe sa propre technologie, Apple Touch ID. FIDO et Apple sont donc en compétition pour imposer leurs systèmes d'authentification comme le nouveau standard de sécurité. Un enjeu crucial alors que les paiements en ligne se font de plus en plus sur mobile."