FIDO

La FIDO (Fast Identity Online) est un ensemble de protocoles d’authentification ouverts et standardisés qui visent à terme à éliminer les mots de passe, souvent inefficaces et obsolètes d’un point de vue de la sécurité. 

Après avoir achevé la procédure d’inscription initiale et sélectionné la méthode avec laquelle ils souhaitent être authentifiés, les utilisateurs peuvent se connecter à un produit ou service compatible FIDO simplement en fournissant une empreinte digitale, en parlant dans un micro, en regardant une webcam ou en saisissant un code PIN, en fonction de la technologie disponible sur leur ordinateur ou leur smartphone, et des méthodes acceptées par le produit ou service. L’essentiel du processus d’authentification s’effectue en arrière plan et les utilisateurs ne s’en rendent même pas compte. 
 

Conçu pour protéger la vie privée de l’utilisateur

Les protocoles FIDO emploient des techniques standard de cryptographie à clés publiques afin de sécuriser l’authentification des utilisateurs. Toutes les communications sont chiffrées et les clés privées ne quittent jamais les terminaux des utilisateurs, ce qui réduit l’éventualité d’un piratage durant la transmission. Et si une information biométrique est utilisée pour l’authentification, elle est également stockée sur les terminaux des utilisateurs, ce qui renforce et sécurise d’autant plus ces processus.

Qu’est-ce que la FIDO Alliance ?

Fondée en 2013, la FIDO Alliance est une association industrielle ouverte destinée à créer des normes d’authentification qui « aident à réduire la dépendance excessive aux mots de passe ». 

L’idée de se servir de données biométriques au lieu de mots de passe comme moyen d’identification a, à l’origine, fait l’objet d’une réunion entre Paypal et Validity Sensors en 2009. Cette réunion a façonné l’idée de créer une norme à l’échelle industrielle à l’aide d’une cryptographie à clés publiques et de méthodes d’authentifications locales, avec pour objectif de pouvoir se connecter sans mot de passe. 

Aujourd’hui, des centaines de sociétés sont membres de la FIDO Alliance, dans divers secteurs, et collaborent à l’élaboration de spécifications techniques définissant un ensemble de protocoles ouverts qui permettent une authentification fiable et sans mot de passe. Parmi ces sociétés : Amazon, Apple, Google, Microsoft, Visa et bien sûr Ping. 

La FIDO Alliance développe des spécifications techniques qui définissent des standards ouverts pour divers mécanismes d’authentification fonctionnant ensemble. Elle dispose également de programmes de certification qui permettent aux entreprises de vérifier l’interopérabilité des produits certifiés, une étape cruciale dans l’adoption de ces normes à l’échelle internationale.

Le fait que le FIDO soit un standard ouvert revêt une grande importance ; comme il est pensé pour être généralisé, il est mis à disposition de tous et son adoption, sa mise en œuvre et sa mise à jour sont gratuites. De surcroît, les standards ouverts étant gérés par une fondation d’actionnaires garantissant qu’ils conservent leur qualité et leur interopérabilité, ils sont largement acceptés par la communauté des développeurs.
 

Quels sont les types de protocoles disponibles ?

La FIDO Alliance a publié trois ensembles de spécifications, tous basés sur la cryptographie à clés publiques :
 

• Universal Authentication Framework (UAF)
• Universal Second Factor (U2F)
• FIDO2
   

Universal Authentication Framework (UAF)

Le protocole FIDO UAF permet aux prestataires de services en ligne de proposer à leurs utilisateurs de se connecter sans devoir saisir de mot de passe. En cas de mesures de sécurité supplémentaires requises, une authentification multifacteur est aussi possible.  

Pour utiliser l’UAF, les utilisateurs doivent disposer d’un appareil privé, tel qu’un ordinateur ou un smartphone, et l’inscrire auprès d’un service en ligne. Pendant l’inscription, il est demandé aux utilisateurs de choisir la méthode qu’ils préfèrent pour s’authentifier auprès de ce service à l’avenir.

Les prestataires de service déterminent les types de mécanismes d’authentification qu’ils jugent appropriés et fournissent la liste des options disponibles : par exemple la reconnaissance vocale ou faciale, la lecture d’empreintes digitales ou la saisie d’un code PIN. En cas de besoin d’une authentification multifacteur, les utilisateurs peuvent s’identifier en passant par plusieurs de ces options.

Une fois inscrits, les utilisateurs n’ont plus besoin de saisir leur mot de passe pour se connecter ; ils se servent des méthodes qu’ils ont choisies pour s’identifier.
 

Mais comment ça marche, exactement ?

Commençons par évoquer l’inscription. Lorsqu’un utilisateur tente d’accéder à un service en ligne pour la première fois, il lui est demandé de s’inscrire.
 

1. Lors de ce processus, l’utilisateur sélectionne la méthode d’authentification qu’il désire employer pour se connecter. Seules les méthodes autorisées par le service en question sont proposées.
   
   
2. L’appareil de l’utilisateur, qui peut être un ordinateur personnel ou un appareil portable, crée une nouvelle paire de clés unique à cet appareil, à ce service en ligne et à ce compte utilisateur.
   
   
3. L’appareil conserve la clé privée et envoie la clé publique au service en ligne associé au compte de l’utilisateur, ce qui complète la procédure d’inscription.

Notez que la communication est chiffrée de bout en bout, et que les clés privées et les données biométriques ne quittent jamais l’appareil de l’utilisateur afin de minimiser la probabilité d’une faille de sécurité.

Après l’inscription, l’utilisateur peut rapidement accéder à l’application en suivant la méthode d’authentification choisie auparavant.
 

1. L’utilisateur se connecte au service en ligne à l’aide de la méthode de vérification d’identité qu’il a choisie.
   
   
2. L’appareil se sert de l’identifiant du compte pour sélectionner la clé privée pertinente et signe la requête du service en ligne de manière à prouver que l’appareil possède bien la clé privée.
   
   
3. L’appareil renvoie la requête signée au service en ligne, qui la vérifie grâce à la clé publique, puis l’accès est accordé à l’utilisateur.
    

Universal Second Factor (U2F)

Le protocole FIDO U2F agit en complément d’une sécurité traditionnelle reposant sur les mots de passe, au lieu de la remplacer totalement. Avec l’U2F, les utilisateurs doivent fournir deux preuves de leur identité :
 

• Une information qu’ils connaissent, comme leurs nom et mot de passe
  
  
• Un objet qu’ils possèdent, comme une clé électronique ou un dispositif USB. Ces appareils de sécurité sont appelés des jetons d’authentification ou des clés de sécurité U2F, ils peuvent accomplir l’authentification en se reposant sur les technologies USB, NFC ou Bluetooth.  

Lorsque la clé de sécurité est activée, le navigateur Internet communique directement avec l’appareil de sécurité et octroie l’accès au service en ligne.
 

Comme cela fonctionne ?

Lorsqu’un utilisateur tente d’accéder à un service en ligne pour la première fois, il lui est demandé de s’inscrire en fournissant un identifiant et un mot de passe.  

Chaque fois que cet utilisateur tente ensuite d’accéder au service en ligne via son navigateur :
 

1. L’utilisateur saisit son identifiant et son mot de passe reconnus par le service en ligne en question.
   
   
2. Le service envoie une requête à l’appareil de sécurité inscrit.
   
   
3. L’appareil de sécurité s’active, reconnaît avoir reçu la requête, la signe afin de prouver qu’il possède bien la clé privée puis renvoie la requête signée au service en ligne.
   
   
4. L’utilisateur obtient l’accès au service en ligne.

Comme pour le protocole UAF, les communications sont chiffrées du début à la fin du processus et la clé privée ne quitte jamais l’appareil de l’utilisateur.

FIDO2

FIDO2 est le nom du dernier ensemble de spécifications de la FIDO Alliance. Il a été créé en collaboration avec le World Wide Web Consortium (W3C).  

Le FIDO2 comporte deux standards ouverts : le protocole FIDO CTAP (Client To Authenticator Protocol, ou protocole client-authentificateur) et le standard W3C WebAuthn. Les deux fonctionnent de concert dans l’optique d’éviter aux utilisateurs de devoir s’identifier à l’aide d’un mot de passe, sauf si une protection supplémentaire s’avère nécessaire, auquel cas une authentification double facteur ou multifacteur (2FA et MFA) sera requise. Cela peut entraîner l’utilisation d’authentificateurs intégrés tels que les données biométriques ou les codes Pin, ou d’authentificateurs itinérants comme les clés électroniques ou les dispositifs USB.

Dans FIDO2, on retrouve :
 

• WebAuthn, qui est une API web standard intégrée aux plateformes et aux navigateurs afin de prendre en charge l’authentification FIDO. Elle fournit une interface de création et de gestion des identifiants de clés publiques et est capable de communiquer avec les authentificateurs CTAP1 et CTAP2.
  
  
• CTAP1, qui est le nouveau nom du protocole FIDO U2F. Il fournit aux utilisateurs une authentification double facteur, exigeant de connecter des appareils de sécurité à leur ordinateur ou d’approcher leur appareil d’un lecteur NFC lorsqu’ils veulent accéder à un service en ligne.
  
  
• CTAP2, qui permet à l’authentificateur d’être utilisé à la fois comme le premier et le deuxième facteur d’authentification et laisse les utilisateurs se connecter sans mot de passe, sauf si une protection supplémentaire s’avère nécessaire, auquel cas une expérience de 2FA ou de MFA sera requise.
   

Comme cela fonctionne ?

Tout comme les protocoles UAF et U2F, lorsqu’un utilisateur tente d’accéder à un service en ligne pour la première fois, il lui est demandé de s’inscrire en fournissant un identifiant et un mot de passe. Pendant l’inscription, deux nouvelles clés sont générées : l’une publique et l’autre privée. La clé privée est conservée sur l’appareil de l’utilisateur et associée à l’identifiant et au domaine du service en ligne, tandis que la clé publique est conservée dans la base de données des clés sur un serveur du service en ligne.

Chaque fois que l’utilisateur tente ensuite d’accéder à ce service en ligne, le service ou la partie utilisatrice se sert des API pour vérifier ses identifiants avec l’authentificateur.
 

1. Lorsque l’utilisateur essaie de se connecter à une application, la partie utilisatrice, aussi appelée serveur FIDO2, envoie au client FIDO une requête via WebAuthn pour lui demander de signer les données à l’aide de la clé privée. Le client FIDO peut être un navigateur, une application de bureau, une application mobile ou une plateforme.
   
   
2. L’utilisateur accepte la requête en utilisant la méthode d’authentification qu’il a choisie lors de son inscription. Le domaine de la partie utilisatrice est confronté au domaine associé à cette partie utilisatrice lors de l’enregistrement. Si les deux domaines ne correspondent pas, l’authentification sera refusée et un message d’erreur s’affichera. Cette association et ce contrôle de durée d’exécution confèrent à la FIDO sa forte résistance au hameçonnage.
   
   
3. Le client obtient la clé privée auprès de l’authentificateur. L’authentificateur peut faire partie de l’ordinateur ou du smartphone de l’utilisateur, ou bien être un dispositif matériel externe.
   
   
4. Le client signe la requête de manière à prouver que son appareil est bien en possession de la clé privée, puis l’accès au service en ligne est autorisé à l’utilisateur.

Et comme pour les autres protocoles FIDO, les communications sont chiffrées de bout en bout et la clé privée ne quitte jamais l’appareil de l’utilisateur.