Connexion sans mot de passe : WebAuthn est officiellement un standard Web

Les navigateurs Google Chrome, Firefox et Microsoft Edge prennent déjà en charge l'API WebAuthn qui est par ailleurs testée dans Safari d'Apple. La technologie WebAuthn est également déjà supportée dans Windows 10 et Android, sans compter des mises en application avec les comptes Microsoft et Dropbox par exemple.

C'est donc en toute logique que le World Wide Web Consortium (W3C) et l'Alliance FIDO (Fast IDentity Online) ont annoncé la finalisation de WebAuthn en tant que standard Web pour des connexions sécurisées et sans mot de passe.

L'API Web Authentication (WebAuthn) permet à des sites web de communiquer avec un dispositif de sécurité afin qu'un utilisateur puisse se connecter à un service. C'est le pendant web du protocole CTAP2 (Client to Authenticator Protocol) de l'Alliance FIDO pour la technologie d'authentification sécurisée FIDO2.

Le dispositif de sécurité peut par exemple être une clé de sécurité FIDO à insérer dans un port USB, le dispositif biométrique d'un appareil ou un appareil mobile lui-même. Une clé FIDO est unique pour chaque site.

FIDO2 utilise le chiffrement par clé publique / privée. Les données sont authentifiées localement sur l'appareil. La création et le stockage de manière sécurisée des clés cryptographiques ont lieu en local et à la demande.

" Les sites peuvent activer FIDO2 par simple appel API sur les navigateurs et toutes plateformes équipées, au moyen de milliards d'appareils utilisés quotidiennement par les consommateurs ", écrivent le W3C et l'Alliance FIDO.