Google Chrome devient le premier navigateur Web à implémenter les normes d'authentification Universal 2nd Factor de la FIDO Alliance (Fast IDentity Online Alliance) et les mettre en pratique dans le cadre de la vérification en deux étapes. Un consortium qui regroupe cependant de nombreux acteurs.
La vérification en deux étapes - ou double authentification - a bénéficié ces dernières semaines d'un éclairage particulier en étant mise en avant comme une solution de sécurisation à l'accès à des comptes afin d'éviter des déconvenues comme celle connue par les célébrités victimes du Celebgate.
Mais Google parle désormais de renforcer cette vérification en deux étapes en optant pour une clé de sécurité physique plutôt qu'un code envoyé sur le smartphone. En lieu et place de ce second code à saisir qui est susceptible de faire l'objet d'un phishing, c'est ainsi une clé USB à insérer dans le port de l'ordinateur lorsque Chrome le demande (toujours en plus du mot de passe usuel).
Avant de pouvoir être utilisée, une clé de sécurité doit être enregistrée et associée à un compte Google. La procédure tire parti du chiffrement à clé publique. Dans la mesure où tout repose sur un standard ouvert, on peut imaginer que les possibilités ne se cantonneront pas uniquement à des solutions de type USB.
Par ailleurs, l'implémentation dans Google Chrome ouvre la voie à un déploiement des normes d'authentification de la FIDO Alliance par n'importe quel site.
Si dans les entreprises de telles méthodes d'authentification sont déjà bien assimilées, reste à convaincre les particuliers qui devront acheter une clé de sécurité certifiée FIDO U2F. On peut en trouver pour près de 6 €.
