Présentation effectuée au Meetup Lizard Secu (27 aout 2020)par Christophe Villeneuve sur "Le futur de l'authentification WebAuthn".
Vous allez voir comment se passer du mot de passe en utilisant WebAuthn
4. @hellosct1
WebAuthn
●
Interface d'authentification des utilisateurs aux applications
Web
A l'aide de clés asymétriques
●
Norme de sécurité
– Développé par W3C & contribué avec la FIDO
– Publié en 2018
●
Permet orchestrer un système de défis cryptographiques
entre 3 entités
– Des applications, appelée Relying Party (RP)
– L’utilisateur souhaitant s’authentifier à l’application
– L’authenticateur : Elément sécurisé en charge de la crypto et de
la protection des secrets.
5. @hellosct1
WebAuthn : En 2 mots
●
Norme viserait à éliminer
→ La nécessité de saisir des mots de passe
lorsque les utilisateurs se connectent à Internet
●
Le but
– Sécuriser l’accès aux applications web,
– Empêcher les attaques de phishing,
●
Ex : Les utilisateurs des sites bancaires ou B2B / B2C
●
Méthode
– C’est une méthode de connexion plutôt que les mots de passe
– Approche alternative
→ comme deuxième méthode de vérification
6. @hellosct1
API Web Authentification
●
Compatible :
– Firefox 60 +
– Chrome 67 +
– Edge 18 +
– Opera 54 +
●
Solution SaaS
– Implémentation dans votre application permettant aux
utilisateurs de créer un compte et de se connecter.
– Appelée webauthn.me
●
Solution Auth0
– Simplifier en quelque sorte l’implémentation de cette spécification.
16. @hellosct1
Enfin
●
Côté développeurs
– Implémenter l’API WebAuthn
●
Côté utilisateurs
– Attendre la mise en place de Généralisation
●
FIDO2 / WebAuthn
●
Côté des sites webs et des smartphones
●
Manière générale
– Délégation de l’authentification (vers les services Web)
→ OpenID Connect / OIDC