Qu'est-ce que FIDO?

L'alliance FIDO

L'Alliance Fast Identity Online (FIDO) est un consortium de grandes entreprises technologiques, d'agences gouvernementales, de fournisseurs de services, d'institutions financières, de processeurs de paiement et d'autres industries qui a été lancé en 2013 dans le but d'éliminer l'utilisation de mots de passe sur les sites Web, les applications et dispositifs.

Qui fait partie de l'Alliance FIDO?

L'Alliance FIDO compte plus de 250 membres, y compris des leaders mondiaux de la technologie dans les entreprises, les paiements, les télécommunications, le gouvernement et la santé. Des sociétés de premier plan telles que Microsoft, Google, Apple, Amazon, Facebook, Mastercard, American Express, VISA, PayPal et OneSpan ont une adhésion au niveau du conseil.

Qu'est-ce que l'authentification FIDO?

L'authentification FIDO est le fruit de l'Alliance FIDO. L'objectif des normes d'authentification FIDO est de réduire l'utilisation des mots de passe et d'améliorer les normes d'authentification sur les ordinateurs de bureau et les appareils mobiles. FIDO est conçu pour protéger la sécurité et la confidentialité des personnes, car les clés privées et la biométrie, si elles sont utilisées, ne quittent jamais l'appareil d'une personne. Vous pouvez faire glisser une empreinte digitale ou saisir un code PIN à usage unique, par exemple, sans avoir besoin de vous souvenir d'un mot de passe complexe. FIDO est également pris en charge par les principaux navigateurs et systèmes d'exploitation, tels que les plates-formes Windows 10 et Android, Google Chrome, Mozilla Firefox, Microsoft Edge et les navigateurs Web Apple Safari.

Les mots de passe statiques sont faciles à voler pour les cybercriminels à l'aide de phishing, de logiciels malveillants et d'autres types d'attaques. En outre, de grandes violations de données ont mis à la disposition des criminels sur le Dark Web des tas de noms d'utilisateur, de mots de passe et d'autres informations personnellement identifiables (PII). Cela a alimenté une vague explosive de fraude financière telle que la prise de contrôle de compte, l'ingénierie sociale et les attaques Man-in-the-Middle. Les gouvernements, les décideurs et les régulateurs ont depuis réagi en introduisant des lois et réglementations sur la cybersécurité et la sécurité des données qui obligent les institutions financières et autres organisations à protéger l'accès à leurs portails, applications et systèmes grâce à l'authentification multifacteur (MFA) et à l'authentification forte des clients (SCA). . En 2013, lors du lancement de l'Alliance FIDO, la sensibilisation du public aux violations de données augmentait. Aujourd'hui, après violations de grande envergure comme Yahoo (3 milliards de comptes exposés), Marriott (500 millions) et Equifax (147 millions), il est clair que l'accès aux comptes et aux systèmes en ligne doit être protégé par une authentification forte plutôt que par des mots de passe.
 

Comment l'authentification FIDO permet-elle la connexion sans mot de passe?

le Alliance FIDO a créé des spécifications et des certifications interopérables avec les authentificateurs matériels et mobiles de nombreux fournisseurs, ainsi que l'authentification biométrique telle que la reconnaissance faciale, sur différents navigateurs et systèmes d'exploitation. Cela permet une authentification sans mot de passe et une connexion à de nombreuses applications et sites Web pour une expérience utilisateur plus fluide. Les normes d'authentification FIDO sont basées sur la cryptographie à clé publique et sont conçues pour fournir une expérience de connexion sûre et facile et une meilleure sécurité pour les services Web et en ligne, à un coût inférieur. La dernière spécification d'authentification de FIDO est le Client to Authenticator Protocols (CTAP). CTAP est complémentaire de la Spécification d'authentification Web du W3C (WebAuthn) ; WebAuthn est l'API Web standard intégrée aux navigateurs Web et aux plates-formes permettant la prise en charge de l'authentification FIDO. CTAP et WebAuthn combinés ensemble sont connus sous le nom de FIDO2.

FIDO2 est le nouveau protocole de l'alliance FIDO

FIDO2 est le dernier protocole d'authentification FIDO. L'Alliance FIDO a développé FIDO2, qui est plus pratique et offre plus de sécurité que la protection par mot de passe traditionnelle, et cette norme a été approuvée par le World Wide Web Consortium (W3C). Les spécifications FIDO2 sont constituées du protocole d'authentification Web (WebAuthn) du W3C et du protocole Client-to-Authenticator Protocol (CTAP) de FIDO Alliance. Ensemble, ces composants rendent l'authentification possible.

CTAP

CTAP permet aux utilisateurs de se connecter sans mot de passe en utilisant une clé de sécurité ou leur téléphone portable pour communiquer les informations d'authentification via USB, Bluetooth ou NFC (Near Field Communication) à l'appareil d'une personne. En conséquence, CTAP facilite l'authentification auprès des navigateurs Web.

WebAuthn

WebAuthn permet aux services en ligne d'utiliser l'authentification FIDO via une API Web standard (interface de programmation d'application) qui peut être intégrée aux navigateurs et permet aux appareils de communiquer. Ensemble, WebAuthn et CTAP permettent aux utilisateurs de s'identifier avec des données biométriques, des codes PIN ou des authentificateurs FIDO externes, sur un serveur FIDO2 appartenant à un site Web ou à une application Web. FIDO2 est rétrocompatible avec le matériel de sécurité FIDO précédemment certifié.

Comment l'authentification FIDO améliore la sécurité et la confidentialité

Les spécifications FIDO pour l'authentification sont conçues pour protéger la confidentialité des utilisateurs, car FIDO empêche les informations d'un client d'être suivies à travers les différents services en ligne qu'ils utilisent. FIDO a été spécialement conçu pour améliorer la confidentialité des utilisateurs.

FIDO et infrastructure à clé publique (PKI)

FIDO est basé sur la cryptographie à clé publique. Selon Gartner , «L'infrastructure à clé publique (PKI) a été développée principalement pour prendre en charge les échanges d'informations sécurisés sur des réseaux non sécurisés.» Un bon exemple est un consommateur effectuant des transactions avec sa banque via l'application bancaire mobile sur son téléphone. La communication entre le serveur de la banque et le téléphone du client doit être cryptée. Cela se fait à l'aide de clés cryptographiques, appelées paire de clés privée et publique. Considérez ces clés PKI comme le verrouillage et le déverrouillage d'informations privées cryptées sur la transaction bancaire. La clé publique est enregistrée auprès du service en ligne, par exemple, le serveur d'une banque. La clé privée du client ne peut être utilisée qu'après avoir été déverrouillée sur l'appareil par l'utilisateur. Par conséquent, les cybercriminels n'ont aucun secret côté serveur à voler.  

De plus, aucune information n'est partagée entre les clés publique et privée. Par exemple, si vous souhaitez vous authentifier auprès d'un service en ligne prenant en charge l'authentification FIDO, vous pouvez le faire en utilisant un dispositif d'authentification FIDO 2FA qui se branche sur le port USB de votre ordinateur portable. Ou, si vous utilisez un smartphone Apple ou Android compatible FIDO, vous pouvez utiliser votre téléphone comme authentificateur FIDO. Tout d'abord, vous serez invité à choisir un authentificateur FIDO2, tel que le Digipass FIDO Touch de OneSpan, qui correspond à la politique d'acceptation du service en ligne. Vous déverrouilleriez ensuite votre authentificateur FIDO à l'aide d'un code PIN, d'une empreinte digitale, d'un scan facial ou d'un bouton sur un périphérique matériel. L'utilisation de l'authentification FIDO pour se connecter a éliminé tout besoin de mot de passe.

Comment l'authentification FIDO aide à prévenir le phishing et d'autres attaques

L'authentification FIDO élimine les mots de passe. Les mots de passe sont le maillon le plus faible de la chaîne d'authentification. En conséquence, les normes FIDO sont plus résistantes aux attaques d'ingénierie sociale telles que le phishing, où les criminels tentent de tromper les gens avec des appels émotionnels ou convaincants pour qu'ils cliquent sur des liens malveillants pour voler leurs noms d'utilisateur, mots de passe et informations sensibles. L'authentification FIDO combat également les attaques Man-in-the-Middle (MITM), qui peuvent intercepter les communications entre l'appareil d'un client et le serveur d'une institution financière. Dans ce type d'attaque, un criminel peut modifier une transaction financière à son profit. La spécification de FIDO traite de la confidentialité car les clés privées et les modèles biométriques ne quittent jamais l'appareil de l'utilisateur et ne sont jamais stockés sur un serveur. Les clés sont uniques à chaque transaction, ce qui réduit la surface d'attaque pour les cybercriminels. En exigeant un code PIN, une empreinte digitale ou un scan facial, l'authentificateur FIDO vérifie que la personne qui se connecte est un vrai humain vivant derrière l'ordinateur et non un pirate informatique ou un cheval de Troie distant.

Comment l'authentification FIDO simplifie l'expérience client

Le client n'a plus besoin de se souvenir de plusieurs mots de passe complexes pour différents appareils ou sites Web. Leur biométrique ou code PIN leur permet de déverrouiller leur clé privée sur leur appareil avec une action simple, comme une empreinte digitale ou un scan du visage, la saisie d'un mot de passe à usage unique (OTP), l'utilisation de la reconnaissance vocale ou la saisie d'un OTP généré par un matériel jeton. La clé publique est stockée sur le serveur de la banque pour vérifier ce qui a été signé sur la clé privée soit pour l'authentification, soit pour une transaction. Les informations d'identification ne sont jamais envoyées ou stockées par une entreprise avec laquelle vous effectuez des transactions. Cela protège la confidentialité et permet de protéger les informations de connexion contre les accès criminels. Les normes améliorent également l'expérience client en ligne et peuvent contribuer à accroître la fidélité des clients en facilitant l'utilisation de l'authentification forte.

Conformité

Les normes FIDO sont conformes aux réglementations pour une authentification plus forte des utilisateurs. FIDO est conçu pour répondre aux exigences des spécifications techniques réglementaires (RTS) de la directive sur les services de paiement (PSD2) révisée de l'Union européenne, car l'authentification du client doit être basée sur deux facteurs ou plus, notamment les mots de passe ou le code PIN, les jetons ou les appareils mobiles, ou la biométrie.

Les normes FIDO sont également conçues pour respecter:

• Le règlement général sur la protection des données (RGPD): Toute organisation exploitant, stockant ou traitant les données des citoyens de l'UE est soumise aux exigences du RGPD. L'utilisation d'un code PIN ou de données biométriques pour vérifier que quelqu'un est bien ce qu'elle prétend être est un exemple d'authentification multifacteur requise par le RGPD.
• Le Groupe d'action financière (GAFI): Le guide d'identité numérique du GAFI indique que «l'approche basée sur les risques recommandée par ce guide repose sur un ensemble de cadres d'assurance et de normes techniques open source axés sur le consensus pour les systèmes d'identification numérique.»
• Réglementations en matière de cybersécurité du New York Department of Financial Services (NYDFS): Le plus grand organisme de réglementation de l'État de New York est le NYDFS. Le NYDFS a introduit des exigences de cybersécurité pour les sociétés de services financiers, qui exigent l'utilisation de l'AMF «pour se protéger contre l'accès non autorisé à des informations ou des systèmes d'information non publics» - les informations non publiques étant les informations privées de l'individu.
• L'Institut national des normes et de la technologie (NIST): L'authentification FIDO est conçue pour adhérer aux exigences définies par le NIST, pour authentifier les utilisateurs sur ses réseaux, car elle répond aux directives du NIST pour une authentification forte.