Commentaires : WebAuthn est désormais le standard officiel de l'authentification sans mot de passe

Le dispositif d’authentification est désormais un standard qui va être déployé dans l’ensemble des navigateurs et des systèmes d’exploitation. Il vise à remplacer à terme le bon vieux mot de passe.

je me méfie des idées miracles et aussi de cette sollicitude envers les pauvres internautes.
Pour ce qui est de la biométrie, c’est encore mieux pour les pirates mais surtout mieux pour les gouvernements et les vendeurs de pubs pour nous fliquer.
De toute façon , quand on prétend faire un truc pour la masse, on est obligé de tomber dans une dictature, car nos sauveurs nous estimeront toujours trop cons pour se débrouiller tout seul.
Ce qui serait bien , c’est que Clubic au lieu de pomper des articles repris partout sur le net, nous explique comment fonctionnera ce système.
Non pas que la partie clé usb ou biométrie mais entre soi et les sites internets.
Identifiant unique, piratable ? Valable sur tous les sites ?

1 J'aime

Un système qui fonctionne pas mal, je trouve, en Belgique, est “itsme”.
Il faut s’enregistrer sur la plate forme via sa carte d’identité électronique. Ensuite télécharger l’application sur son téléphone mobile. Lors d’un besoin d’authentification, l’application se lance sur votre smartphone, vous vérifiez les informations et validez avec votre code pin. Vous êtes loggé. Simple, rapide, efficace.

un mot de passe ça se change… des données biométriques non. Donc une fois usurpées on est foutu à vie ?

je trouve le prix de la clef (55 €) un peu élevé

bah problème moderne, solution moderne :

tu utilises le doigt de ta femme, si pb, tu changes de femme… une pierre deux coups XD

ok je sors…

mais plus sérieusement, je n’ai pas encore le temps de tout lire, mais si la spec parle de clés asynchrones, alors je pense que tu n’as aucun risque (https://www.w3.org/TR/webauthn/)

T’as juste à révoquer une clée perdue et de toutes les façons c’est tjs la clé public que tu communiqueras

Tu peux faire un test ici https://webauthn.org/

Ce qui m’ennuie par contre, c’est de devoir éventuellement acheter une application et/ou une vraie clée qui gère les couples de clées…

En tous les cas, je trouve que c’est plus rassurant de naviguer directement dans un tunnel sécurisé et les hackers n’auront d’autres alternatives que de te casser la gueule pour avoir ton hardware… ^^ Donc s’ils le veulent vraiment ils pourront, et ça, c’est pour le coup moins rassurant de voir débarquer chez toi une armée de pirates qui te veulent la peau et accessoirement ta clé =D

Le site “webauthn.org” est déjà compromis et piraté, avec des certificats invalides.
Ca laisse un gros doute sur la validité technique de ce dispositif quand la démo officielle est déjà cassée avant même son adoption globale.

De toute façon pour l’instant ça ne marche pas s’il faut un capteur ou un matériel spécifique, qu’on ne trouve pratiquement que sur smartphone (qu’on peut facilement perdre ou se faire voler et assez fragile avec une durée de vie qui maintenant n’excède plus 2 ou 3 ans).
pour aller au delà et sécuriser les accès sur d’autres appareils, Webauthn devra être utilié avec un système de double authentification, et là on revient aux solutions classiques (par mail, très peu sûr et facilement piraté, ou par SMS, là encore pas sécurisé du tout en international car les opérateurs de téléphonie n’ont toujours pas mis en place la sécurisation de bout en bout et la certifications de l’identité des appelants et sont encore à l’ère du vieux protocole ITU numéro 7 du début des années 1980’s, qui n’était “sûr” à l’époque que par le fait que les télécoms étaient encore des monopoles d’état dans presque tous les pays; aujourd’hui ce protocole est mis à mal avec les arnaques par téléphone passant par des passerelles internationales que personne ne peut éradiquer, l’Europe et la France veulent imposer la sécurisation des réseaux téléphoniques mais cela ne peut encore s’appliquer que pour les appels intranationaux, le reste est une passoire et tout est permis et pas cher à exploiter).

Le W3C devrait maintenant se pencher sérieusement pour convaincre l’ITU d’abandonner ses vieux protocoles et bannir les vieilles passerelles d’interconnexion de réseaux. La passoire d’Internet est maintenant TRES fortement liée à ces passerelles que personne ne peut controler et où il n’y a jamais eu de sécurisation de bout en bout alors que les standards pour la supporter existent depuis des dizaines d’années et sont même obligatoires sur les réseaux nationaux (et utilisées par les services public de sécurité et d’urgence qui sont pourtant incapables d’identifier et tracer les appels internationaux, y compris les appels nationaux par des passerelles satellite) et par les réseaux internes des armées (qui ont leur propre protocole privé de sécurisation de bout en bout par transport et routage crypté qui peut être véhiculé sur n’importe quel réseau ouvert ou n’importe quelle fréquence utilisable.

De même l’ICANN doit travailler à sécuriser le DNS, l’IETF doit travailler à sécuriser réellement les protocoles de passerelles internet. l’ICANN doit sécuriser le routage IP (et les annonces IGP).

Il y a bien des tonnes de trous à combler avant que “l’authentification à deux facteurs” devienne réellement fiable, et puisse enfin assurer une indépendance des matériels utilisés.

En attendant on n’a pas mieux que le chiffrement et l’authentification par échange de clés avec les algos à clés multiple.

La solution “biométrique” n’est pas du tout viable. C’est comme si on avait un mot de passe à vie, c’est trop facile à dupliquer et impossible à changer et c’est une horreur en terme de protection de la vie privée (et aussi pour le secret des affaires).

A mon avis les meilleures solutions seront basées sur le chiffrement à triple clé (et non à double clé) où l’utilisateur disposera d’un large choix entre deux tiers indépendants et aucun tiers ne pourras agir seul. Et même à l’avenir des degrés plus élevés (authentification multiple avec plusieurs matériels détenus par l’utilisateur et une variété de tiers, l’utilisateur disposant encore d’une majorité décisive).

Les algos de chiffrement à clés triples existent déjà (ce sont en fait des extensions simples du système à paire de clés, mais avec plusieurs clés privés et une seule clé publique). Mais ils sont encore interdits à l’export car cela nécessite des longueurs de clés très longues (et en est encore limité à des clés de 1024 bits; pour les clés triples il faut au minimum 1536 bits, pour des clés quadruples, il faut des clés de 2048 bits, et plus on augment la taille des clés plus il faut une puissance de calcul suffisante pour assurer un bon débit par les détenteurs légitimes des clés, tout en garantissant le même niveau de sécurité contre les attaques de type “brute force” ou cryptanalytiques… Hors nos smartphones et processeurs en sont encore incapables, il n’y a que les matériels militaires, interdits à l’export qui disposent du matériel et ils sont hors de prix)

Pourtant même en dehors du chiffrement des communications, le chiffrement fort est nécessaire pour l’échange des clés d’authentification, et là il y a encore des manques dans les protocoles d’authentification et dans l’infrastructure PKI qui ne permettent pas encore de stocker ou échanger des clés très longues: on a encore la limite de 1024 bits, donc seulement le chiffrement à paire de clés)