X
Fido 2
Alain Clapaud / lundi 17 septembre 2018 / Thèmes: Dossier, Sécurité

Fido 2

L’après mot de passe se met en place

Insuffisamment complexes, les mots de passe sont à l’origine d’un nombre croissant de fuites de données et, à l’heure du RGPD, l’intérêt d’une authentification forte réapparaît. Le standard Fido 2 pourrait aider à des déploiements massifs de solutions de ce type.

Selon l’édition 2017 du Verizon Data Breach Investigations Report (DBIR), la part des fuites de données provoquées par des vols de mots de passe a grimpé de 50 % à 81 % ces trois dernières années. Alors que les entreprises se mettent massivement au Cloud, des mots de passe trop faibles constituent de moins en moins un rempart efficace contre les hackers. Si le SSO apparaît pour de nombreux RSSI d’entreprise comme un bon moyen d’améliorer la sécurité des mots de passe tout en facilitant l’accès à ces multiples services cloud, nombreux sont ceux qui imaginent l’étape suivante, donc l’après mot de passe.

Coup d’accélérateur lors de la RSA Conference 2018

Lors de la RSA Conference 2018, Google et Microsoft ont simultanément annoncé leur intention de remplacer l’authentification par mot de passe dans leur navigateur en implémentant le standard Fido 2 – pour « Fast IDentity Online ». Jerrod Chong, vice-président en charge des produits chez Yubico, résume ce standard : « Fido 2 comprend deux éléments : une interface de programmation web (WebAuthn) et un authentifiant (CTAP2). Les deux ont déjà commencé à être mis en place. Mozilla Firefox et Chrome ont récemment inclus la possibilité d’utiliser WebAuthn sur leurs navigateurs. De même que Microsoft, qui a annoncé permettre l’utilisation de WebAuthn sur Edge. »

D’autres éditeurs de navigateurs majeurs se sont engagés à suivre le même chemin dès la fin de l’année.

Créée en 2013, cette alliance regroupe notamment Google, Microsoft, Facebook, eBay, mais aussi Salesforce, Bank of America, Bank of China afin de formaliser les standards d’interopérabilité entre solutions d’authentification fortes. Quelques jours avant cette annonce, Facebook annonçait son arrivée au board de l’Alliance, preuve de l’intérêt porté au standard par les géants du Net pour muscler la sécurité de leurs accès. Un mouvement initié dans le B2C qui devrait entraîner les entreprises à sa suite, espère Alain Martin, VP Strategic Partnerships chez Gemalto et président du Groupe de travail européen de l’Alliance Fido : « L’annonce de Google et Microsoft constitue une étape clé et cela va probablement favoriser l’adoption des standards Fido dans certains segments de marché, notamment dans le domaine de l’entreprise. En effet, les entreprises utilisent l’environnement Windows de Microsoft et de plus en plus le navigateur pour accéder à leurs applications.»

L’un des avantages de Fido, c’est la démultiplication des facteurs. On trouve Fido sous forme de clés USB, de cartes à puce, intégré dans le PC dans le TPM ou dans les composants TE d’Intel, mais aussi dans les téléphones.

L’heure est à la certification des terminaux

Le standard Fido 2 dévoilé lors de la RSA Conference réunit les travaux de l’Alliance Fido et du W3C, et va permettre de se connecter à une page web, à Microsoft Windows au moyen d’une clé USB, un porte-clés Bluetooth ou RFID, une carte à puce, ou un smartphone.

Désormais, les spécifications et le standard ont été publiés et c’est aux éditeurs et constructeurs de devices de l’implémenter dans leurs solutions comme l’a déjà fait Microsoft dans Windows Hello, sa solution de login.

La technologie étant maintenant en place et standardisée, l’Alliance Fido va maintenant s’attacher à certifier les devices qui voudront bénéficier du sceau Fido 2. L’Alliance a défini six niveaux de sécurité.

Le niveau 1, qui correspond à une sécurité minimale. « Ce niveau correspond à une solution 100 % logicielle qui ne sera sans doute jugée suffisante pour de nombreux sites web grand public soucieux de ne pas compliquer la vie de leurs utilisateurs », explique Alain Martin. « En remplaçant le mot de passe par Fido niveau 1, elles auront déjà une solution d’accès beaucoup plus sûr qu’un mot de passe. » L’expert estime qu’il est possible aujourd’hui de durcir la sécurité d’une solution logicielle, notamment avec la technique de whitebox cryptography. Les éditeurs pourront se targuer du niveau « 1+ » si leur solution parvient à passer des tests de pénétration.

Facebook, qui fait maintenant partie du board Fido, a implémenté l’authentification Fido sur son site dès le début de l’année 2017.

Le niveau 2 correspond à une implémentation dans un environnement sécurisé de l’appareil, un TEE (Trusted Execution Environment), le niveau « 2+ » correspondant à des tests de pénétration plus sévères.

Enfin, les niveaux 3 et « 3+ » qui seront mis en place prochainement, imposeront la présence d’un composant hardware dédié, type carte à puce, qui accroît encore le niveau de sécurité de l’implémentation. Parmi ces modules hardware figurent bien évidemment la carte à puce, le module TPM d’Intel pour les PC et de multiples dongles de sécurité commercialisés quelques euros l’unité. Néanmoins, dotés de capteurs d’empreinte, de la reconnaissance faciale, d’une lecture d’iris sur certains modèles, les smartphones apparaissent de plus en plus comme l’outil d’accès numéro 1 pour le grand public, mais probablement aussi pour les entreprises.

Le secteur bancaire en pointe en Europe

Si aux États-Unis les Gafa seront certainement le moteur de Fido 2, en Europe c’est le secteur bancaire qui devrait être le plus actif. En effet, les banques européennes sont soumises à la directive PSD 2 qui leur impose des règles bien plus sévères pour garantir la sécurité des paiements sur Internet. Il ne sera bientôt plus possible de payer sur le Web simplement avec son numéro de carte, les banques devront demander le code secret ou une authentification biométrique. Fido 2 apparaît comme une solution qui permettra aux banques d’aller au-delà du paiement 3D-Secure et de son authentification à deux facteurs par SMS, une approche aujourd’hui décriée par les experts tant il est facile d’envoyer un SMS en se faisant passer pour un autre expéditeur. Pour le moyen terme, l’alliance Fido réfléchit désormais à d’éventuelles extensions dans la blockchain et dans l’IoT.


« Fido 2 permettra d’abaisser les coûts »

Alain Martin, VP Strategic Partnerships, chez Gemalto, et président du Groupe de travail européen de l’Alliance Fido

« L’arrivée d’un standard permet d’abaisser les coûts et permet aux entreprises de s’affranchir de solutions propriétaires. Avec les nouvelles releases Windows et les nouvelles versions de navigateurs qui vont arriver, Fido sera supporté nativement, si bien que vous n’aurez plus besoin d’implémenter un middleware pour communiquer avec un device d’authentification forte. L’authentification forte va être de plus en plus déployée en entreprise et le monde de l’entreprise est de plus en plus sensibilisé à la protection de ses bases de données. Le middleware Fido sera préinstallé dans les environnements Windows et les navigateurs. Les entreprises n’auront plus qu’à investir dans le device lui-même, qu’il s’agisse d’une clé USB, d’une carte à puce ou le téléphone. »


« Il faut adapter la sécurité au contexte »

Nicolas Petroussenko, Country Manager France d’Okta

« Il faut renforcer la sécurité par une politique de gestion des identités et des accès qui prennent en compte l’hétérogénéité de solutions et parmi les éléments importants, c’est que l’utilisateur ne doit pas avoir à se relogguer en permanence. Des contextes sont plus sécurisés que d’autres, et certains permettent de s’affranchir du mot de passe. Avec l’adaptive SSO, le système s’adapte au contexte d’utilisation et accorde l’accès en fonction d’un premier challenge, le login/ mot de passe, puis un second challenge type MFA (Multi-Factor Authentication) ou rien du tout lorsque l’on est certains de l’identité de la personne qui veut se connecter. Les start-up « Digital Natives » qui n’ont que pour seule préoccupation de faire du business adopteront vite ce type d’approche. Les très grands comptes qui s’imposent des niveaux de sécurité extrêmement élevés ne seront clairement pas des « early adopters » de ce type d’approche. »


« Beaucoup de RSSI ne savent pas encore ce dont il s’agit ! »

Jerrod Chong, vice-président Produits chez Yubico

« Chaque RSSI souhaite que les usagers dont il s’occupe puissent bénéficier d’un monde sans mot de passe. Cependant, beaucoup ne savent pas encore ce dont il s’agit ! Par exemple, dans un monde sans mot de passe, il n’existera plus aucun secret partagé dans un serveur dorsal. Cela signifie qu’il n’y aura plus de codes ou de mots de passe permettant de récupérer un compte. La solution est de posséder plus d’un seul moyen d’authentification, que ce soit une YubiKey ou le téléphone/ordinateur en lui-même. Si vous perdez tous vos systèmes d’authentification, alors le processus de récupération du compte sera très difficile. Afin de ne pas se retrouver bloqué, il est donc important d’en posséder plus d’un. »

Print
3853

x
Rechercher dans les dossiers
Actuellement à la Une...
Samsung a présenté son Galaxy S10 hier soir et a profité de l’évènement pour dévoiler son smartphone pliable. Baptisé Galaxy Fold, ce terminal de 7,3 pouces déplié et 4,6 pouces plié affiche des caractéristiques techniques et un prix à faire pâlir respectivement la concurrence et les portefeuilles.

Le projet de loi annoncé mercredi soir par Emmanuel Macron pour mieux lutter contre les propos racistes et antisémites publiés en ligne prévoira des amendes pour les plateformes internet qui ne les suppriment pas, a indiqué jeudi le secrétaire d'État en charge du numérique, Mounir Mahjoubi.

Le repository des repositories célèbre le cinquième anniversaire de son programme de chasse aux bugs. Après avoir versé un total de 250 000 dollars en 2018, GitHub augmente cette année ses primes et ajoute une protection juridique à l’endroit des chercheurs.

L’offreur d’espace de location a inauguré Lundi dernier un nouveau centre de données, PA8, sur son campus de Pantin. Le centre a reçu à cette occasion Bruno Le Maire, ministre de l’Économie qui a tenu à cette occasion un discours très offensif.

En inaugurant le centre de Pantin IBX PA8, le ministre de l'Economie, Bruno Le Maire a revisité et mis à jour la notion de cloud souverain. 


L’éditeur français spécialisé en cybersécurité annonce avoir bouclé une levée de fonds à laquelle a participé la Scopelec, qui tisse en parallèle un partenariat avec ITrust. L’entreprise compte utiliser ces fonds afin d’étoffer ses équipes R&D et commerciales.

Il est rare d’avoir pareille réaction de la Cnil. Le gendarme des données personnelles s’est fendu de plusieurs tweets visant à recadrer Christian Estrosi, alors que celui-ci affirmait avoir obtenu l’autorisation de la Cnil pour tester la reconnaissance faciale à Nice… sauf que, depuis l’entrée en vigueur du RGPD, le régulateur ne délivre plus d’autorisation préalable à la mise en place de dispositifs biométriques.

Le géant de Mountain View met la main sur une startup israélienne, Alooma. Cette jeune enterprise est spécialisée dans l’intégration de données de sources multiples vers un seul et unique entrepôt.

Apple a corrigé le bug permettant à un utilisateur d’entendre son interlocuteur avant que celui-ci ne décroche. Toutefois, le correctif semble apporter son lot de problèmes, dont des restrictions vraisemblablement volontaires de la part de la marque à la pomme.

L’éditeur britannique s’empare d’une société spécialisée dans la détection de menaces, ou ...

Toutes les News

LIVRES BLANCS

Au cours de l'année 2018, VansonBourne a mené une enquête pour le compte de Nutanix afin de connaître les intentions des entreprises en matière d'adoption de clouds privés, hybrides et publics.

 


Pour gérer le risque informationnel et permettre à l'entreprise d'aller de l'avant, vous avez besoin d'une stratégie solide et d'un plan d'ordre en marche. RSA a développé ce livre blanc comme aide sur ces deux besoins. Il vous guide pas à pas pour mettre en place un programme de gestion des risques, basé sur des principes GRC éprouvés.


Plus facile à déployer et plus économique, découvrez le meilleur de la virtualisation et du PC dans un poste de travail de nouvelle génération.


Plus l'entreprise se numérise, plus le risque d'interruption s'accroît. Plus les architectures informatiques se complexifient (services de clouds publics et plateformes hybrides, mondialisation, personnalisation des TI...), plus les reprises après sinistre deviennent difficiles et coûteuses. Face à de tels enjeux, il est essentiel de se demander si l'approche traditionnelle, basée sur les reprises après sinistre, est encore véritablement appropriée.

Ce livre blanc passe en revue toutes les composantes et propose une approche originale pour ne plus subir d'interruption de services.


Avez-vous le contrôle de vos données Office 365 ? Avez-vous accès à tous les éléments dont vous avez besoin ? À première vue, la réponse est en général « Bien sûr » ou « Microsoft s’en occupe ». Mais à bien y réfléchir, en êtes-vous sûr ?


Tous les Livres Blancs