IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'ère du mot de passe révolue pour l'alliance FIDO
Qui propose un nouveau standard pour faciliter et normaliser les systèmes d'authentification

Le , par Amine Horseman
22 commentaires

12PARTAGES

6  0 
En juillet 2012, plusieurs grandes entreprises avaient formé ce que l’on appelle la FIDO Alliance (Fast IDentity Online), dans un effort de créer un moyen à la fois sécurisé et facile à utiliser, qui permettrait de ne plus avoir à retenir de mots de passe. Les membres de cette alliance sont tous de grandes multinationales dans le domaine de l’IT mais aussi dans la finance, dont Google, Microsoft, Lenovo, Samsung Electronics, BlackBerry, ARM Holdings, Bank of America Corporation, PayPal, RSA, Visa, Synaptics, ainsi que d’autres.

Après plus de deux ans d’efforts, la FIDO Alliance a enfin publié les spécifications finales des deux systèmes d’authentification proposés. Le premier est décrit comme « un protocole sans mot de passe » et porte le nom de « Universal Authentication Framework (UAF) ». Ce protocole se base sur l’utilisation de l’authentification biométrique comme les empreintes digitales, la reconnaissance des visages ou encore la reconnaissance de la voix à travers une expérience utilisateur simplifiée et intuitive.

Le deuxième protocole, dénommé « Universal Second Factor (U2F) », est destiné aux infrastructures existantes à base de mot de passe, renforcées par l’introduction d’un second facteur d’authentification, qui prend ici la forme d’un périphérique externe (ex : clé USB, Bluetooth, NFC…). Ceci permettrait de diminuer la longueur des mots de passe à quatre chiffres seulement, rendant leur mémorisation plus facile pour les utilisateurs, comme c’est le cas pour les actuelles cartes de crédit.


Schéma récapitulatif de l'authentification selon les spécifications de FIDO Alliance

Ces deux techniques ne semblent rien apporter de nouveau, puisqu’elles sont déjà utilisées depuis plusieurs années. Toutefois, la particularité des protocoles FIDO, est que selon les spécifications publiées, « l’authentification se passe en local et non dans le serveur distant ». En d’autres termes, une fois que le client introduit son périphérique d’authentification ou son empreinte digitale, par exemple, c’est la machine de l’utilisateur qui détermine son identité puis envoie une clé chiffrée au serveur pour la comparer avec les autres clés. De ce fait, les informations privées de l’utilisateur ne sont pas stockées chez le fournisseur de service. De plus cela permettrait d’éviter toute forme de tracking de l’utilisateur à travers différents sites web.

Une autre particularité des spécifications proposées par FIDO Alliance, est qu’elles visent à normaliser l’expérience utilisateur ainsi que les différentes couches des protocoles d’authentification, de sorte à créer un standard unifié. Le client pourrait même être « préinstallé dans le système d’exploitation ou dans le navigateur », peut-on lire sur le site de l’alliance. Selon elle, les protocoles U2F et UAF pourraient être la solution aux problèmes actuels des infractions causées par le vol d’identifiants et de mots de passe, représentant 76 % des infractions, selon le rapport d’enquête de Verizon.

Source : FIDO Alliance

Et vous ?

Qu’en pensez-vous ? Vers la fin du mot de passe ?

Une erreur dans cette actualité ? Signalez-nous-la !

22 commentaires
Commenter Signaler un problème
kolodz
Avatar de kolodz
Modérateur https://www.developpez.com
Le 11/12/2014 à 11:57
L'authentification a toujours eu 3 critères différents :
  • Ce que tu as.
  • Ce que tu es.
  • Ce que tu sais.

Une authentification un minimum valable se base sur 2 de ces trois critères. Le système présenté réduit tout à un seul facteur, ce que tu es.

Or il a été prouvé à de nombreuse reprise que les systèmes d'authentification biométrique sont facilement trompé...

D'autant plus qu'il est plus facile d'obtenir l'emprunte d'une personne ou son téléphone que son mot de passe.

Cordialement,
Patrick Kolodziejczyk.
9  0 
squizer
Avatar de squizer
Membre actif https://www.developpez.com
Le 11/12/2014 à 13:42
c’est la machine de l’utilisateur qui détermine son identité puis envoie une clé chiffrée au serveur pour la comparer avec les autres clés.
Donc suffit d'intercepter cette clé une fois pour se reloguer à la place de l'utilisateur en bypassant complètement le protocole "client" d'authentification.
Sans moi...
6  0 
vanskjære
Avatar de vanskjære
Membre averti https://www.developpez.com
Le 11/12/2014 à 12:02
Il n'y a que moi qui vois un lien fort entre FIDO et UAF-UAF?

Sinon rien de révolutionnaire comme préciser dans le communiquer.
Tout comme un iphone 5s ou 6 la reconnaissance c'est bien si l'empreinte n'a pas été altéré (blessure, bain chaud trop long etc...) et le mot de passe devient alors de nouveau indispensable.

Pour la solution du second factor c'est bien beau quand on a plus de batterie sur son téléphone (voir pa son téléphone tout court).

Citation Envoyé par kolodz Voir le message

Or il a été prouvé à de nombreuse reprise que les systèmes d'authentification biométrique sont facilement trompé...

D'autant plus qu'il est plus facile d'obtenir l'emprunte d'une personne ou son téléphone que son mot de passe.

Patrick Kolodziejczyk.
En mode film d'espionnage avec un pauvre gars (mort ou vif) qui se fait couper le doigt pour passer une porte sécurisé par reconnaissance d'empreinte. (Quand c'est pas l'oeil qui lui a été pris)
4  0 
youtpout978
Avatar de youtpout978
Expert confirmé https://www.developpez.com
Le 12/12/2014 à 15:05
Citation Envoyé par fredd5 Voir le message
Bonjour,

Je suis déjà rentré dans la réflexion du second système à savoir comment simplifier le processus d'authentification tout en le rendant plus securisé.
J'avais alors imaginé qu'une haute instance pourrait entrer en jeu.

Si on s’intéresse au cas du téléphone une personne malveillante devrait pirater un FAI + se procurer le téléphone de l'utilisateur et s'en servir avant que ce dernier ne l'ai déclaré volé ça parait pas mal.
Après sans parler du problème de batterie comment cela se passerait en cas de panne ? le système pourrait être couplé à une puce qu on branche sur le téléphone qui contient une information inaltérable et qui n'a pas de durée de vie à garder sur soi comme on garde ses clées.
Au final il ne resterait que le facteur "humain" vol de la puce par exemple, malheureusement il n'y a pas de solution miracle si cela se produit ce sera à l'utilisateur de prévenir la haute instance afin que son accès soit désactivé.

Pour blinder la chose on pourrait ajouter de l'authentification conditionnelle. Je m'explique, pour que l'authentification réussisse l'utilisateur doit se trouver à tel endroit (la geoloc du téléphone ferait le reste).

Qu'en pensez vous ?
Je pense finalement que la méthode actuel avec mot de passe est déjà pas mal
2  0 
Zirak
Avatar de Zirak
Inactif https://www.developpez.com
Le 12/12/2014 à 15:36
Citation Envoyé par fredd5 Voir le message
Bonjour,

Je suis déjà rentré dans la réflexion du second système à savoir comment simplifier le processus d'authentification tout en le rendant plus securisé.
J'avais alors imaginé qu'une haute instance pourrait entrer en jeu.

Si on s’intéresse au cas du téléphone une personne malveillante devrait pirater un FAI + se procurer le téléphone de l'utilisateur et s'en servir avant que ce dernier ne l'ai déclaré volé ça parait pas mal.
Après sans parler du problème de batterie comment cela se passerait en cas de panne ? le système pourrait être couplé à une puce qu on branche sur le téléphone qui contient une information inaltérable et qui n'a pas de durée de vie à garder sur soi comme on garde ses clées.
Au final il ne resterait que le facteur "humain" vol de la puce par exemple, malheureusement il n'y a pas de solution miracle si cela se produit ce sera à l'utilisateur de prévenir la haute instance afin que son accès soit désactivé.

Pour blinder la chose on pourrait ajouter de l'authentification conditionnelle. Je m'explique, pour que l'authentification réussisse l'utilisateur doit se trouver à tel endroit (la geoloc du téléphone ferait le reste).

Qu'en pensez vous ?
Et pi en plus, il faudrait se filmer avec son tel, en train de danser à cloche-pied un soir de pleine lune, au milieu de 12 statuettes enroulées dans du jambon...

Je pense qu'on tient un truc !

(ah non, on me dit que cela a déjà été proposé )

edit :

Citation Envoyé par vanskjære Voir le message
Il n'y a que moi qui vois un lien fort entre FIDO et UAF-UAF?


Tu es mon héros du vendredi de cette semaine !
2  0 
Aiekick
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 11/12/2014 à 15:25
oui c'est ce qu'on s'est dit de ceux qui ont fait la visa sans contact. et en fait.....
2  1 
Etanne
Avatar de Etanne
Membre éclairé https://www.developpez.com
Le 11/12/2014 à 15:57
Citation Envoyé par squizer Voir le message
Donc suffit d'intercepter cette clé une fois pour se reloguer à la place de l'utilisateur en bypassant complètement le protocole "client" d'authentification.
Sans moi...
Impossible car la clé renvoyée au serveur dépend de la clé qui t'a été envoyé pour l'authentification (voir le site).
1  0 
Saverok
Avatar de Saverok
Expert éminent https://www.developpez.com
Le 15/12/2014 à 14:34
Citation Envoyé par bhamp0 Voir le message
Sur la sécurité des serrures à empreinte : http://en.wikipedia.org/wiki/MythBus...ngerprint_Lock
Ca donne un peu le niveau de "fausse sécurité" de ce truc ...

Si on rajoute la notion de confidentialité des données biométriques, ça donne de bonnes raisons de ne jamais y passer.
C'est d'autant plus vraie que lorsqu'un mdp est corrompu, il est possible de le changer alors qu'une signature biométrique...

Sans oublier que les empreintes biométriques peuvent s'altérer facilement (maladie, etc.)
Avez-vous déjà essayer de prendre votre empreinte à la sortie de la piscine ?
1  0 
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 16/12/2014 à 12:19
Il y a tout de meme un truc que je ne comprends pas, c'est l'acharnement mis par ces entreprises à vouloir se débarasser du mot de passé, en présentant des solutions somme toutes super complexes : on scanne ton empreinte, on en fait une clef, on te demande de valider par un mot de passé à 4 chiffres, on secoue le tout, et hop, c'est sécurisé...

Le lecteur d'empreinte des iphone était suffisamment contournable lors de la sortie de l'iphone 5 pour que les entreprises de sécurité conseillent de continuer à utiliser un mot de passé long... Il en sera de meme dans les prochains appareils, car la sécurité coûte cher, et que les gens ne sont pas prêt à dépenser 100 euro de plus pour leur telephone pour avoir un peu plus de sécurité.

Non, vraiment, le seul intérêt que je vois pour les gros sites est de ne plus stocker les informations des mots de passe, et donc de pouvoir se dédouaner de cette responsabilité.
1  0 
youtpout978
Avatar de youtpout978
Expert confirmé https://www.developpez.com
Le 17/12/2014 à 18:02
Toute façon plus la méthode est complexe pour l'utilisateur plus il la rejettera même si ça ajoute de la sécurité, c'est comme avoir 3 serrures sur sa porte mais en n'utiliser qu'une seule

On a le système de double authentification qui est déjà pas mal pour les paiements bancaire, c'est acceptable dans ce cas là mais c'est clair que je voudrais pas avoir recours à ce système pour me connecter à un site lambda.
1  0 
Commenter Signaler un problème