Qu'est-ce que WebAuthn ?
En mars 2019, le World Wide Web Consortium (W3C) annonçait que WebAuthn était désormais le standard web officiel pour les connexions sans mot de passe. Pris en charge par un grand nombre d'applications (Microsoft Edge, Chrome, Firefox et applications mobiles), WebAuthn devrait connaître une adoption massive dans les années à venir.
Dans cet article, nous allons explorer les points faibles des méthodes d'authentification actuelles, les avantages de WebAuthn et les utilisations les plus pertinentes de ce nouveau standard.
Points faibles des méthodes d’authentification actuelles
Avant de chercher à savoir pourquoi WebAuthn a été créé et de s'intéresser à ses diverses fonctionnalités, il est important de revenir sur les débuts de l'authentification utilisateur et de cerner les points faibles des méthodes actuelles.
Authentification par mot de passe
Nous sommes tous habitués à nous authentifier à l'aide de noms d'utilisateur et de mots de passe. Bien que cette méthode soit omniprésente et à la portée de tous, un Américain sur cinq a déjà été victime de piratage de compte à la suite d'un vol de mot de passe. Sachant qu'un utilisateur possède en moyenne plus de 130 comptes en ligne, les entreprises ont tout intérêt à faire évoluer leur framework d'authentification pour préserver leur activité.
Authentification à deux facteurs
La nouvelle méthode d'authentification la plus fréquente est l'authentification à deux facteurs (2FA). Mais dans le cas des comptes clients, les facteurs secondaires courants tels que les SMS sont bien connus pour leur vulnérabilité aux attaques par phishing. Face au manque de fiabilité de l'authentification 2FA, WebAuthn constitue une solution potentielle pour contrer le phishing et améliorer l'expérience client.
Qu'est-ce que WebAuthn ?
Nouveau standard mondial d'authentification web, WebAuthn est une API pour navigateurs qui simplifie et sécurise l'accès aux applications web en utilisant des terminaux enregistrés (téléphones, ordinateurs portables, etc.) comme facteurs d'authentification. Elle fait appel à la cryptographie à clé publique pour protéger les utilisateurs des attaques sophistiquées par phishing.
Avantages de WebAuthn
WebAuthn présente trois grands avantages pour les parties prenantes, notamment les clients, les responsables produits, les équipes de sécurité et les équipes d'assistance.
Examinons-les en détail.
Amélioration de l'engagement client
Clients - Offrir une expérience de connexion fluide
Puisque WebAuthn utilise le terminal comme facteur d'authentification, plus aucun mot de passe n'est nécessaire. Côté client, il n'est plus nécessaire de mémoriser des noms d'utilisateur et mots de passe pour la connexion, ou de demander un mot de passe à usage unique dans le cas d'une authentification à deux facteurs. Le processus est donc simplifié pour l'utilisateur final, qui doit simplement se servir de son terminal enregistré pour s'authentifier.
Responsables produits - Écourter les délais d'authentification et de lancement
Comme nous le disions, WebAuthn élimine la nécessite de recourir aux mots de passe. Soucieux que leurs applications rencontrent un large public, les responsables produits s'emploient généralement à supprimer tous les obstacles qui se dressent sur le parcours de leurs clients. Grâce à WebAuthn, ils ont la possibilité d'offrir une expérience de connexion fluide à ces utilisateurs.
De plus, libérés du casse-tête des mots de passe, ces responsables peuvent accélérer le lancement de leurs produits sans avoir à déployer des architectures complexes pour gérer et stocker les mots de passe.
Renforcement de la sécurité
Clients - Préserver la confiance
Face à la multiplication des brèches de sécurité, il est particulièrement important de préserver la confiance des clients. Ces derniers vous confient leurs informations et veulent l'assurance que les données qu'ils partagent sont protégées. Avec WebAuthn, vous bénéficiez d'une méthode d'authentification beaucoup plus sûre, qui écarte les risques associés aux mots de passe.
Équipes de sécurité - Éliminer les faiblesses inhérentes aux mots de passe
Contrairement aux autres méthodes d'authentification, WebAuthn ne repose pas sur des facteurs de connaissance, tels que les noms d'utilisateur et les mots de passe, mais sur les terminaux enregistrés qui appartiennent à l'utilisateur final. Ces appareils étant plus difficiles à dérober que les mots de passe, le risque d'usurpation d'identité est plus faible, à la grande satisfaction des équipes de sécurité.
Réduction de la charge de travail du service d'assistance
Équipes d'assistance - Réduire les cycles de support indissociables de l'authentification multifacteur
La norme WebAuthn a la particularité de pouvoir être utilisée comme méthode de connexion principale. Son implémentation simplifie les cycles de support, car le nombre de facteurs se limite tout simplement à WebAuthn.
Comment fonctionne WebAuthn ?
Vous l'aurez compris, le principal atout de WebAuthn est d'éliminer les mots de passe. Mais comment ce standard ouvert accomplit-il cette prouesse ? WebAuthn repose en fait sur trois composants clés : l'authentificateur, le navigateur et le serveur web.
L'authentification sans mot de passe : un processus en six étapes
Étape 1 : l'utilisateur ouvre son navigateur pour établir une connexion.
Étape 2 : le serveur web crée une demande d'authentification (challenge) unique et le transmet à l'authentificateur.
Étape 3 : l'authentificateur reçoit la demande avec le nom de domaine correspondant.
Étape 4 : l'authentificateur reçoit le consentement biométrique de l'utilisateur.
Étape 5 : l'authentificateur génère une signature cryptographique et l'envoie au serveur web.
Étape 6 : le serveur web vérifie la signature en déchiffrant la demande (challenge) unique pour connecter l'utilisateur.
Pour en savoir plus sur les spécifications techniques, consultez la page WebAuthn du W3C.
Vers une authentification sans mot de passe
Pour résumer, le monde évolue vers un modèle d'authentification sans mot de passe. Grâce à WebAuthn, les problèmes de piratage de comptes et d'expérience utilisateur limitée appartiendront bientôt au passé.
Chez Okta, nous avons pour objectif de développer des solutions sécurisées sans mot de passe afin d'aider nos clients à relever les défis de l'authentification. Nous nous engageons à prendre en charge les normes d'authentification comme WebAuthn, qui favorisent l'adoption de stratégies sans mot de passe à plus grande échelle. Mais nous sommes également conscients que la grande difficulté pour nombre d'entreprises est de sécuriser les phases de récupération de mots de passe, et de fournir des solutions alternatives pour s'authentifier en toute sécurité sur les terminaux non pris en charge.
Pour en savoir plus sur l'intégration d'Okta avec les applications, téléchargez notre livre blanc gratuit.