X
Fido 2
Alain Clapaud / dimanche 16 septembre 2018 / Thèmes: Dossier, Sécurité

Fido 2

L’après mot de passe se met en place

Insuffisamment complexes, les mots de passe sont à l’origine d’un nombre croissant de fuites de données et, à l’heure du RGPD, l’intérêt d’une authentification forte réapparaît. Le standard Fido 2 pourrait aider à des déploiements massifs de solutions de ce type.

Selon l’édition 2017 du Verizon Data Breach Investigations Report (DBIR), la part des fuites de données provoquées par des vols de mots de passe a grimpé de 50 % à 81 % ces trois dernières années. Alors que les entreprises se mettent massivement au Cloud, des mots de passe trop faibles constituent de moins en moins un rempart efficace contre les hackers. Si le SSO apparaît pour de nombreux RSSI d’entreprise comme un bon moyen d’améliorer la sécurité des mots de passe tout en facilitant l’accès à ces multiples services cloud, nombreux sont ceux qui imaginent l’étape suivante, donc l’après mot de passe.

Coup d’accélérateur lors de la RSA Conference 2018

Lors de la RSA Conference 2018, Google et Microsoft ont simultanément annoncé leur intention de remplacer l’authentification par mot de passe dans leur navigateur en implémentant le standard Fido 2 – pour « Fast IDentity Online ». Jerrod Chong, vice-président en charge des produits chez Yubico, résume ce standard : « Fido 2 comprend deux éléments : une interface de programmation web (WebAuthn) et un authentifiant (CTAP2). Les deux ont déjà commencé à être mis en place. Mozilla Firefox et Chrome ont récemment inclus la possibilité d’utiliser WebAuthn sur leurs navigateurs. De même que Microsoft, qui a annoncé permettre l’utilisation de WebAuthn sur Edge. »

D’autres éditeurs de navigateurs majeurs se sont engagés à suivre le même chemin dès la fin de l’année.

Créée en 2013, cette alliance regroupe notamment Google, Microsoft, Facebook, eBay, mais aussi Salesforce, Bank of America, Bank of China afin de formaliser les standards d’interopérabilité entre solutions d’authentification fortes. Quelques jours avant cette annonce, Facebook annonçait son arrivée au board de l’Alliance, preuve de l’intérêt porté au standard par les géants du Net pour muscler la sécurité de leurs accès. Un mouvement initié dans le B2C qui devrait entraîner les entreprises à sa suite, espère Alain Martin, VP Strategic Partnerships chez Gemalto et président du Groupe de travail européen de l’Alliance Fido : « L’annonce de Google et Microsoft constitue une étape clé et cela va probablement favoriser l’adoption des standards Fido dans certains segments de marché, notamment dans le domaine de l’entreprise. En effet, les entreprises utilisent l’environnement Windows de Microsoft et de plus en plus le navigateur pour accéder à leurs applications.»

L’un des avantages de Fido, c’est la démultiplication des facteurs. On trouve Fido sous forme de clés USB, de cartes à puce, intégré dans le PC dans le TPM ou dans les composants TE d’Intel, mais aussi dans les téléphones.

L’heure est à la certification des terminaux

Le standard Fido 2 dévoilé lors de la RSA Conference réunit les travaux de l’Alliance Fido et du W3C, et va permettre de se connecter à une page web, à Microsoft Windows au moyen d’une clé USB, un porte-clés Bluetooth ou RFID, une carte à puce, ou un smartphone.

Désormais, les spécifications et le standard ont été publiés et c’est aux éditeurs et constructeurs de devices de l’implémenter dans leurs solutions comme l’a déjà fait Microsoft dans Windows Hello, sa solution de login.

La technologie étant maintenant en place et standardisée, l’Alliance Fido va maintenant s’attacher à certifier les devices qui voudront bénéficier du sceau Fido 2. L’Alliance a défini six niveaux de sécurité.

Le niveau 1, qui correspond à une sécurité minimale. « Ce niveau correspond à une solution 100 % logicielle qui ne sera sans doute jugée suffisante pour de nombreux sites web grand public soucieux de ne pas compliquer la vie de leurs utilisateurs », explique Alain Martin. « En remplaçant le mot de passe par Fido niveau 1, elles auront déjà une solution d’accès beaucoup plus sûr qu’un mot de passe. » L’expert estime qu’il est possible aujourd’hui de durcir la sécurité d’une solution logicielle, notamment avec la technique de whitebox cryptography. Les éditeurs pourront se targuer du niveau « 1+ » si leur solution parvient à passer des tests de pénétration.

Facebook, qui fait maintenant partie du board Fido, a implémenté l’authentification Fido sur son site dès le début de l’année 2017.

Le niveau 2 correspond à une implémentation dans un environnement sécurisé de l’appareil, un TEE (Trusted Execution Environment), le niveau « 2+ » correspondant à des tests de pénétration plus sévères.

Enfin, les niveaux 3 et « 3+ » qui seront mis en place prochainement, imposeront la présence d’un composant hardware dédié, type carte à puce, qui accroît encore le niveau de sécurité de l’implémentation. Parmi ces modules hardware figurent bien évidemment la carte à puce, le module TPM d’Intel pour les PC et de multiples dongles de sécurité commercialisés quelques euros l’unité. Néanmoins, dotés de capteurs d’empreinte, de la reconnaissance faciale, d’une lecture d’iris sur certains modèles, les smartphones apparaissent de plus en plus comme l’outil d’accès numéro 1 pour le grand public, mais probablement aussi pour les entreprises.

Le secteur bancaire en pointe en Europe

Si aux États-Unis les Gafa seront certainement le moteur de Fido 2, en Europe c’est le secteur bancaire qui devrait être le plus actif. En effet, les banques européennes sont soumises à la directive PSD 2 qui leur impose des règles bien plus sévères pour garantir la sécurité des paiements sur Internet. Il ne sera bientôt plus possible de payer sur le Web simplement avec son numéro de carte, les banques devront demander le code secret ou une authentification biométrique. Fido 2 apparaît comme une solution qui permettra aux banques d’aller au-delà du paiement 3D-Secure et de son authentification à deux facteurs par SMS, une approche aujourd’hui décriée par les experts tant il est facile d’envoyer un SMS en se faisant passer pour un autre expéditeur. Pour le moyen terme, l’alliance Fido réfléchit désormais à d’éventuelles extensions dans la blockchain et dans l’IoT.


« Fido 2 permettra d’abaisser les coûts »

Alain Martin, VP Strategic Partnerships, chez Gemalto, et président du Groupe de travail européen de l’Alliance Fido

« L’arrivée d’un standard permet d’abaisser les coûts et permet aux entreprises de s’affranchir de solutions propriétaires. Avec les nouvelles releases Windows et les nouvelles versions de navigateurs qui vont arriver, Fido sera supporté nativement, si bien que vous n’aurez plus besoin d’implémenter un middleware pour communiquer avec un device d’authentification forte. L’authentification forte va être de plus en plus déployée en entreprise et le monde de l’entreprise est de plus en plus sensibilisé à la protection de ses bases de données. Le middleware Fido sera préinstallé dans les environnements Windows et les navigateurs. Les entreprises n’auront plus qu’à investir dans le device lui-même, qu’il s’agisse d’une clé USB, d’une carte à puce ou le téléphone. »


« Il faut adapter la sécurité au contexte »

Nicolas Petroussenko, Country Manager France d’Okta

« Il faut renforcer la sécurité par une politique de gestion des identités et des accès qui prennent en compte l’hétérogénéité de solutions et parmi les éléments importants, c’est que l’utilisateur ne doit pas avoir à se relogguer en permanence. Des contextes sont plus sécurisés que d’autres, et certains permettent de s’affranchir du mot de passe. Avec l’adaptive SSO, le système s’adapte au contexte d’utilisation et accorde l’accès en fonction d’un premier challenge, le login/ mot de passe, puis un second challenge type MFA (Multi-Factor Authentication) ou rien du tout lorsque l’on est certains de l’identité de la personne qui veut se connecter. Les start-up « Digital Natives » qui n’ont que pour seule préoccupation de faire du business adopteront vite ce type d’approche. Les très grands comptes qui s’imposent des niveaux de sécurité extrêmement élevés ne seront clairement pas des « early adopters » de ce type d’approche. »


« Beaucoup de RSSI ne savent pas encore ce dont il s’agit ! »

Jerrod Chong, vice-président Produits chez Yubico

« Chaque RSSI souhaite que les usagers dont il s’occupe puissent bénéficier d’un monde sans mot de passe. Cependant, beaucoup ne savent pas encore ce dont il s’agit ! Par exemple, dans un monde sans mot de passe, il n’existera plus aucun secret partagé dans un serveur dorsal. Cela signifie qu’il n’y aura plus de codes ou de mots de passe permettant de récupérer un compte. La solution est de posséder plus d’un seul moyen d’authentification, que ce soit une YubiKey ou le téléphone/ordinateur en lui-même. Si vous perdez tous vos systèmes d’authentification, alors le processus de récupération du compte sera très difficile. Afin de ne pas se retrouver bloqué, il est donc important d’en posséder plus d’un. »

6511

x
hardcore black fuck malay hijab fuck big black dick
Rechercher dans les dossiers

Actuellement à la Une...
La rumeur courait depuis plusieurs années. Elle a été confirmée à l’occasion de la Conférence développeurs WWDC 2020 : Apple divorce d’avec Intel. Les futurs ordinateurs de la marque à la Pomme seront bâtis autour de processeurs maison dérivés de l’architecture matérielle RISC ARM. Les premières machines conçues autour des nouveaux CPU devraient être commercialisées à la fin de l’année, Apple se donnant deux ans pour migrer toute sa gamme vers cette nouvelle technologie. Article paru dans L'Informaticien n°188.

Voilà bientôt deux ans que le gouvernement a enterré SAIP. Alors qu’une échéance européenne approche, l’Etat entend mettre en place une solution de diffusion cellulaire, en service dans de nombreux pays, avec pour objectif de l’avoir déployé en 2022. 

CCH Tagetik dans le giron de Wolters Kluwer Tax & Accounting tenait récemment sa journée pour ses clients et partenaires. Cela a été l’occasion d’annoncer de nouvelles fonctions dans sa suite de gestion de la performance corporate à destination des directions financières.

Le constructeur de librairies de bandes et éditeur de logiciels de gestion de données met sur le marché SpectraTFinity, une baie avec une capacité d’un Exaoctet sur la technologie LTO-9.

La Commission européenne, saisie d'une plainte d'Europacable, lance une enquête sur les importations de fibre chinoise, dont les fabricants sont accusés de dumping sur les prix et dont les volumes de vente sont de plus en plus importants en Europe, et notamment en France.

Toutes les autres News
LIVRES BLANCS

Aujourd'hui, les Directeurs Comptables et Financiers ont envie de dématérialiser leurs factures fournisseurs. C'est plutôt l'idée de devoir s'intégrer à un environnement multi-ERP déjà existant qui les freine. Mais est-ce réellement une barrière ? Dans son nouveau Livre Blanc, Esker explore ce sujet. En le téléchargeant, vous découvrirez comment la dématérialisation peut être une aubaine plutôt qu'un fardeau.


Actuellement, il existe un gouffre entre les environnements informatiques traditionnels des entreprises et le cloud public. Tout diffère : les modèles de gestion, de consommation, les architectures applicatives, le stockage, les services de données.


Les avantages de l’architecture hyperconvergée étant de plus en plus reconnus, de nombreuses entreprises souhaitent l’utiliser pour des types d’applications variés. Cependant, son manque de souplesse pour une mise à niveau des ressources de calcul indépendantes de celles de stockage ne lui permet pas d’être utilisée plus largement.

Au cours de l’événement HPE Discover qui s’est tenu en juin 2019, HPE a répondu à cette préoccupation en présentant la plateforme HPE Nimble Storage dHCI.

Ce Livre Blanc IDC se penche sur les exigences du marché ayant stimulé le besoin de solutions HCI plus flexibles, puis il examine brièvement la solution HPE Nimble Storage dHCI en expliquant pourquoi elle répond à ce besoin.


Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


Tous les Livres Blancs