Qu'est-ce que l'authentification FIDO ?

 

L'authentification FIDO offre aux entreprises une alternative aux mots de passe plus robuste et plus conviviale. Si vous gérez l'authentification des clients ou des employés, comprendre le fonctionnement de FIDO vous aidera à évaluer une voie à suivre plus judicieuse. Basée sur les normes ouvertes développées par la FIDO Alliance, cette approche remplace les mots de passe traditionnels par le chiffrement à clé publique, vous offrant une sécurité renforcée et une meilleure expérience utilisateur dans le cadre de l'évolution plus large vers l'authentification sans mot de passe. Dans ce guide, nous expliquons en détail le fonctionnement de FIDO (Fast IDentity Online), la relation entre WebAuthn, FIDO2 et CTAP2, et vous aidons à comprendre quel protocole correspond à vos besoins.

Points clés à retenir.

 

 

  • L'authentification FIDO élimine les mots de passe en utilisant le chiffrement à clé publique, où les clés privées ne quittent jamais les appareils des utilisateurs et ne sont jamais partagées avec les serveurs ni transmises sur le réseau.

  • FIDO2 est le standard générique qui combine deux spécifications ouvertes : WebAuthn (l’API du navigateur et de la plateforme) et CTAP2 (le protocole qui relie les authentificateurs aux appareils). Ensemble, ils permettent une authentification sans mot de passe et résistante au phishing.

  • La FIDO Alliance favorise l’adoption mondiale en développant des normes ouvertes d’authentification, en menant des programmes de certification et en réunissant des centaines d’entreprises membres (dont Amazon, Apple, Google, Microsoft, Visa et Ping) autour d’un objectif commun : réduire la dépendance aux mots de passe.

  • Il existe aujourd’hui trois générations de protocoles FIDO. UAF prend en charge la connexion sans mot de passe, U2F ajoute un second facteur matériel, et FIDO2 combine ces deux capacités tout en introduisant la prise en charge des clés d’accès sur l’ensemble des plateformes et des appareils.

  • Sans FIDO, les systèmes basés sur les mots de passe restent exposés au phishing des identifiants, à la prise de contrôle de compte et au coût opérationnel des réinitialisations de mot de passe, qui figurent parmi les principales causes de violations de données en entreprise.

 

 

Qu'est-ce que l'authentification FIDO ?

 

L'authentification FIDO est un ensemble de protocoles ouverts et normalisés conçus pour remplacer les mots de passe par des alternatives plus sûres et plus faciles à utiliser. Développés dans le cadre de FIDO (Fast IDentity Online), ces protocoles utilisent le chiffrement à clé publique pour vérifier votre identité sans jamais envoyer de secret partagé sur le réseau.

 

Voici comment cela fonctionne de manière générale. Lorsque vous vous enregistrez auprès d'un service compatible FIDO, votre appareil génère une paire de clés unique : une clé privée qui reste sur votre appareil et une clé publique qui est envoyée au service. Lorsque vous vous connectez plus tard, le service envoie une demande d'authentification à laquelle seule votre clé privée peut répondre. Votre appareil signe la demande d'authentification, prouve que vous possédez la clé et vous accorde l'accès. Aucun mot de passe n'entre en jeu, et votre clé privée ne quitte jamais votre appareil.

 

L’expérience pour vous est simple. Selon le service et votre appareil, vous pouvez vous authentifier à l’aide d’une empreinte digitale, d’un scan du visage, d’un code PIN ou d’une clé de sécurité matérielle. Il s’agit d’un exemple d’ authentification biométrique fonctionnant avec des identifiants cryptographiques. L’échange cryptographique sous-jacent s’effectue en coulisses en quelques millisecondes.

 

Qu'est-ce que la FIDO Alliance et quel est son rôle dans les normes d'authentification ?

 

La FIDO Alliance est une association industrielle ouverte fondée en 2013 avec une mission claire : réduire la dépendance excessive du monde aux mots de passe. Ce qui a commencé en 2009 comme une conversation entre PayPal et Validity Sensors sur l’utilisation de la biométrie à la place des mots de passe s’est transformé en un effort mondial réunissant des centaines d’entreprises membres des secteurs de la technologie, de la finance, de la santé et du gouvernement. En 2026, la FIDO Alliance indique que plus de cinq milliards de clés d’accès ont été créées dans le monde, et 82 % des entreprises affirment que l’authentification entièrement sans mot de passe constitue un objectif ultime pour leurs employés1.

 

L’Alliance joue trois rôles distincts dans l’élaboration des normes d’authentification. Premièrement, elle développe des spécifications techniques qui définissent le fonctionnement des protocoles d’authentification FIDO. Ces spécifications (UAF, U2F et FIDO2) fournissent un cadre commun que toute entreprise peut mettre en œuvre, garantissant la cohérence entre les produits et les plateformes. Deuxièmement, l’Alliance gère des programmes de certification qui vérifient l’interopérabilité entre les appareils, les navigateurs et les services de différents fournisseurs. Ce processus de certification est essentiel pour l’adoption à l’échelle mondiale, car il signifie qu’une clé de sécurité certifiée FIDO d’un fabricant fonctionnera avec un service certifié FIDO d’un autre fabricant. Troisièmement, l'Alliance collabore avec des organismes de normalisation comme le World Wide Web Consortium (W3C) pour s'assurer que les spécifications FIDO deviennent des standards Web officiels. L'API WebAuthn, co-créée par l'Alliance FIDO et le W3C, est devenue un standard Web officiel du W3C en 20192 et est le résultat direct de cette collaboration.

 

Parce que FIDO est une norme ouverte, elle est accessible au public et libre d'adoption, d'implémentation et de mise à jour. Cette ouverture est intentionnelle. Elle encourage une adoption généralisée, offre aux développeurs un cadre bien documenté sur lequel s'appuyer et empêche tout fournisseur unique de contrôler l'orientation de l'authentification sans mot de passe. Des entreprises membres telles qu'Amazon, Apple, Google, Microsoft, Visa et Ping Identity contribuent aux spécifications et participent ensemble à façonner l'avenir de la sécurité des identités.

 

Comment fonctionne l'authentification FIDO ?

 

Chaque protocole FIDO suit le même modèle en deux phases : inscription et authentification. Comprendre ces deux phases vous aide à voir pourquoi l’authentification FIDO résiste aux attaques par phishing, au vol d’identifiants et aux attaques par rejeu.

 

Inscription. Lorsque vous accédez à un service compatible FIDO pour la première fois, votre appareil crée une nouvelle paire de clés cryptographiques qui est propre à cet appareil, à ce service et à votre compte. La clé privée reste sur votre appareil. La clé publique est envoyée au service et stockée avec les informations de votre compte. Si vous choisissez une méthode biométrique (comme une empreinte digitale ou un scan du visage), ces données biométriques sont utilisées uniquement localement pour déverrouiller la clé privée. Elle n’est jamais envoyée au serveur.

 

Authentification. Chaque fois que vous revenez pour vous connecter, le service envoie une demande d'authentification cryptographique à votre appareil. Votre appareil utilise la clé privée stockée pour signer cette demande d'authentification, puis renvoie la réponse signée. Le service vérifie la signature par rapport à votre clé publique. Si la signature est valide, l'accès vous est accordé. Il est important de noter que le service vérifie également que le domaine correspond à celui enregistré lors de la configuration. Cette étape de liaison au domaine est ce qui rend l'authentification FIDO résistante au phishing : même si un attaquant crée une fausse page de connexion convaincante, le domaine ne correspondra pas, et l'authentification échouera.

 

Toute communication au cours des deux phases est chiffrée, et les clés privées ne quittent jamais les appareils des utilisateurs. Cette conception signifie qu'il n'existe aucun secret partagé que les attaquants pourraient voler lors d'une violation de données.

 

Quelle est la différence entre WebAuthn, FIDO2 et CTAP2 ?

 

Ces trois termes apparaissent souvent ensemble, ce qui peut rendre difficile de les distinguer. La réponse courte est que FIDO2 est le standard générique, et que WebAuthn et CTAP2 en sont les deux spécifications de composant. Chacun joue un rôle différent dans le processus d'authentification.

 

FIDO2 est le standard global développé conjointement par la FIDO Alliance et le W3C. Il définit le cadre complet de l’authentification sans mot de passe et de l’authentification multifacteur (MFA) à l’aide de la cryptographie à clé publique. Lorsque quelqu’un parle d’ « authentification FIDO2 », il fait référence au système complet qui comprend à la fois WebAuthn et CTAP.

 

WebAuthn (Web Authentication) est un standard Web du W3C qui définit l'API utilisée par les navigateurs et les plateformes pour communiquer avec les services compatibles FIDO. Il s'agit de la couche qui gère les échanges entre le site Web (la partie de confiance) et le client (votre navigateur ou système d'exploitation). WebAuthn spécifie la manière dont les identifiants à clé publique sont créés lors de l'inscription et vérifiés lors de l'authentification. Tous les principaux navigateurs (Chrome, Firefox, Safari, Edge) prennent WebAuthn en charge nativement.

 

CTAP2 (Client To Authenticator Protocol 2) est la spécification qui régit la manière dont un authentificateur externe (tel qu’une clé de sécurité USB, un appareil Bluetooth ou un téléphone) communique avec la plateforme cliente. Si WebAuthn est la conversation entre le site Web et votre navigateur, CTAP2 est la conversation entre votre navigateur et votre authentificateur. CTAP2 prend en charge les flux sans mot de passe, les flux multifacteurs et les identifiants résidents (clés d’accès). Son prédécesseur, CTAP1, est la version renommée du protocole U2F d’origine et prend uniquement en charge l’authentification par second facteur.

 

Voici comment ils s'articulent en pratique. Lorsque vous appuyez sur une clé de sécurité pour vous connecter à un site Web, WebAuthn gère l'échange entre le site Web et votre navigateur, tandis que CTAP2 gère l'échange entre votre navigateur et la clé de sécurité. Les deux doivent fonctionner ensemble pour que l'authentification FIDO2 réussisse.

 

Composant

Ce que c’est

Champ d'application

Géré par

FIDO2

La norme-cadre pour le passwordless et la MFA

Cadre complet d’authentification

FIDO Alliance et W3C

WebAuthn

Web API pour la création et la vérification des identifiants à clé publique

Navigateur/plateforme vers la partie de confiance

W3C

CTAP2

Protocole de communication entre l’authentificateur et le client

Authentificateur vers navigateur/plateforme

FIDO Alliance

 

Comprendre comment ces trois composants interagissent fournit un contexte utile pour la famille plus large des protocoles FIDO. L’Alliance a publié trois générations de spécifications, chacune s’appuyant sur la précédente.

 

Protocoles d'authentification FIDO : UAF, U2F, FIDO2

 

La FIDO Alliance a publié trois générations de spécifications, chacune reposant sur le chiffrement à clé publique. Comprendre les différences vous aide à choisir le bon protocole pour les exigences de sécurité et les objectifs d'expérience utilisateur de votre entreprise.

 

Cadre d’authentification universel (UAF)

 

UAF permet une connexion sans mot de passe en laissant les utilisateurs s’authentifier à l’aide d’une méthode choisie lors de l’enregistrement, telle qu’une empreinte digitale, une reconnaissance faciale, une reconnaissance vocale ou un code PIN. Le protocole crée une paire de clés unique pour chaque combinaison utilisateur-appareil-service, stocke la clé privée sur l’appareil et envoie la clé publique au service.

 

 

 

Lors de l'inscription :

 

  1. Vous sélectionnez une méthode d'authentification parmi les options autorisées par le service.

  2. L'appareil génère une nouvelle paire de clés unique à l'appareil, au service et au compte utilisateur.

  3. La clé privée reste sur l'appareil. La clé publique est envoyée au service pour terminer l'inscription.

 

 

 

Lors de l’authentification :

 

  1. Vous fournissez la méthode d'authentification que vous avez choisie (par exemple, une empreinte digitale) pour vérifier votre identité.

  2. L'appareil sélectionne la clé privée appropriée et signe la demande d'authentification du service.

  3. Le service vérifie la demande d'authentification signée à l'aide de la clé publique stockée, et vous obtenez l'accès.

 

Toutes les communications sont chiffrées, et les clés privées et les données biométriques ne quittent jamais les appareils des utilisateurs. L'UAF a posé les bases des flux entièrement sans mot de passe, un principe de conception que les protocoles FIDO ultérieurs ont repris.

 

Second facteur universel (U2F)

 

U2F complète l'authentification traditionnelle par mot de passe plutôt que de la remplacer. Les utilisateurs fournissent deux éléments de preuve : quelque chose qu'ils savent (un nom d'utilisateur et un mot de passe) et quelque chose qu'ils possèdent (une clé de sécurité enregistrée). Il s'agit d'une forme d'authentification à deux facteurs. Ces clés de sécurité peuvent utiliser l'USB, le NFC (communication en champ proche) ou le Bluetooth pour compléter le processus d'authentification.

 

 

 

Chaque fois qu'un utilisateur se connecte :

 

  1. Vous saisissez votre nom d'utilisateur et votre mot de passe.

  2. Le service envoie une demande d'authentification à la clé de sécurité enregistrée.

  3. La clé de sécurité signe la demande d'authentification pour prouver la possession de la clé privée et renvoie la réponse.

  4. Vous accédez au service.

 

U2F est désormais officiellement connu sous le nom de CTAP1 dans le cadre de FIDO2, et sa fonctionnalité demeure une option de second facteur au sein de la norme FIDO2 plus large. Cela reste une option valable pour les entreprises qui ont déjà déployé des clés matérielles et ne sont pas encore prêtes pour un déploiement entièrement sans mot de passe.

 

FIDO2

 

FIDO2 est la génération la plus récente et la plus polyvalente. Il combine les capacités sans mot de passe de UAF avec les capacités de second facteur de U2F, et ajoute la prise en charge des clés d’accès (identifiants FIDO2 liés à l’appareil ou synchronisés, pris en charge par Apple, Google et Microsoft). FIDO2 peut fournir des expériences sans mot de passe, des expériences à deux facteurs, ou une authentification multifacteur (MFA) complète, selon ce que le service exige.

 

 

 

Lors de l’authentification FIDO2 :

 

  1. Le service (la partie de confiance, ou RP) envoie une demande d'authentification au client FIDO à l'aide de WebAuthn. Le client FIDO peut être un navigateur, une application de bureau ou une application mobile.

  2. Vous consentez en fournissant la méthode d'authentification de votre choix. Le client vérifie que le domaine correspond à celui enregistré lors de la configuration. S'il ne correspond pas, l'authentification échoue. C'est ce qui confère à FIDO2 sa forte résistance au phishing.

  3. Le client obtient la clé privée depuis l'authentificateur, qui peut être intégré à l'appareil ou prendre la forme d'une clé matérielle externe.

  4. Le client signe la demande d'authentification et renvoie la réponse. Le service vérifie la signature et vous obtenez l'accès.

 

Comme avec tous les protocoles FIDO, la communication est chiffrée de bout en bout, et les clés privées ne quittent jamais les appareils des utilisateurs.

 

 

 

Avantages de l'authentification FIDO

 

L’authentification FIDO apporte des améliorations mesurables en matière de sécurité, de confidentialité, de conformité et d’expérience utilisateur. Voici les principaux avantages que vous pouvez attendre de l’adoption de protocoles basés sur FIDO.

 

  • Résistance au phishing : FIDO lie chaque identifiant à un domaine spécifique, de sorte que les identifiants volés ne peuvent pas être réutilisés sur un autre site. Cela fait de FIDO l’une des défenses les plus robustes contre le phishing d’identifiants disponibles aujourd’hui.

  • Confidentialité renforcée : Les données biométriques (empreintes digitales, scans du visage, modèles vocaux) restent sur votre appareil et ne sont jamais transmises à un serveur. Cette approche « privacy by design » réduit la responsabilité et s'aligne sur les principes axés sur la confidentialité.

  • Conformité réglementaire : les normes FIDO prennent en charge les exigences du RGPD, du CCPA et de la PSD2. Les directives du NIST sur l’identité numérique (SP 800-63B) recommandent également des authentificateurs résistants au phishing basés sur les normes FIDO3.

  • Confort d’utilisation : Se connecter avec une empreinte digitale, un scan du visage ou une pression sur une clé de sécurité est plus rapide que de saisir un mot de passe. Les utilisateurs n’ont plus besoin de mémoriser ou de réinitialiser des mots de passe, ce qui réduit le volume de demandes au service d’assistance. Comprendre comment la MFA et l’authentification sans mot de passe se comparent peut vous aider à choisir la bonne approche.

  • Réduisez les coûts opérationnels : En éliminant les tickets d’assistance liés aux mots de passe et en réduisant le volume de récupération de compte, l’authentification FIDO réduit les coûts continus de la gestion des accès des utilisateurs.

 

Ces avantages se cumulent à mesure que l'adoption croît. Plus vous migrez de services et d'utilisateurs vers l'authentification FIDO, plus vous réduisez votre surface d'attaque liée aux mots de passe et votre charge de support.

 

Questions fréquentes sur l'authentification FIDO

 

FIDO2 est le standard générique qui comprend deux spécifications de composant : WebAuthn et CTAP2. WebAuthn est l'API Web du W3C qui gère la communication entre un site Web et votre navigateur ou plateforme. CTAP2 est le protocole de la FIDO Alliance qui gère la communication entre votre navigateur et un authentificateur externe tel qu’une clé de sécurité.

La FIDO Alliance développe des spécifications ouvertes d’authentification (UAF, U2F et FIDO2), mène des programmes de certification pour vérifier l’interopérabilité entre les fournisseurs et collabore avec le W3C pour transformer ces spécifications en normes Web officielles. Ses entreprises membres comprennent Amazon, Apple, Google, Microsoft, Visa et Ping Identity.

FIDO utilise le chiffrement à clé publique, ce qui signifie que les clés privées ne quittent jamais les appareils des utilisateurs et ne sont jamais partagées avec les serveurs. Ceci élimine les risques de vol d'identifiants, de réutilisation des mots de passe et de phishing, car il n'y a aucun secret partagé que les attaquants pourraient voler ou intercepter.

Les passkeys sont des identifiants FIDO2 qui peuvent être stockés sur un appareil ou synchronisés sur plusieurs appareils via une plateforme telle qu’Apple iCloud Keychain ou Google Password Manager. Ils utilisent le même chiffrement à clé publique que les autres identifiants FIDO2, mais la synchronisation les rend disponibles sur chaque appareil lié à votre compte, afin que vous ne perdiez pas l’accès si vous changez de téléphone ou d’ordinateur portable.

Non. Les données biométriques utilisées dans l'authentification FIDO (empreintes digitales, scans du visage, modèles vocaux) sont stockées exclusivement sur les appareils des utilisateurs. Elle est utilisée localement pour déverrouiller la clé privée et n'est jamais transmise à un serveur ni stockée sur un serveur.

Oui. Les protocoles FIDO prennent en charge la conformité à des réglementations telles que le RGPD, le CCPA et la DSP2 en conservant les données biométriques sur l’appareil et en éliminant les secrets partagés. FIDO2 et U2F offrent tous deux des options d’authentification multifacteur adaptées aux secteurs qui traitent des données sensibles.

Oui. FIDO est une norme ouverte, et la FIDO Alliance gère des programmes de certification pour vérifier l’interopérabilité entre les navigateurs, les systèmes d’exploitation et les dispositifs d’authentification. Tous les principaux navigateurs et plateformes (Chrome, Firefox, Safari, Edge, Windows, macOS, iOS, Android) prennent en charge FIDO2 et WebAuthn nativement.

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à offrir des expériences sécurisées aux employés, partenaires et clients dans un monde numérique en constante évolution.