Alliance FIDO
L'Alliance FIDO (pour « Fast IDentity Online », en anglais) est une association industrielle ouverte lancée en février 2013 dont la mission déclarée est de développer et de promouvoir des normes d'authentification qui « contribuent à réduire la dépendance excessive du monde aux mots de passe »[1]. FIDO résout le manque d'interopérabilité entre les dispositifs d'authentification forte et réduit les problèmes rencontrés par les utilisateurs lors de la création et de la mémorisation de plusieurs noms d'utilisateur et mots de passe.
Aperçu
modifierFIDO prend en charge une gamme complète de technologies d'authentification, y compris la biométrie – empreintes digitales et iris, reconnaissance vocale et faciale – ainsi que les solutions et les normes de communication existantes, telles que les modules de plateforme sécurisée (TPM), les jetons de sécurité USB, les éléments sécurisés intégrés (eSE), les cartes à puce et la communication en champ proche (NFC)[2].
Le dispositif de jeton numérique (USB) peut être utilisé pour s'authentifier à l'aide d'un simple mot de passe (par exemple un code PIN à quatre chiffres) ou en appuyant sur un bouton. Les spécifications mettent l'accent sur un modèle centré sur l'appareil. L'authentification sur le réseau s'effectue à l'aide de cryptographie asymétrique.
Le dispositif de l'utilisateur enregistre sa clé publique auprès d'un serveur. Pour authentifier l'utilisateur, l'appareil signe un « défi » à l'aide de la clé privée qu'il détient. Les touches de l'appareil sont déverrouillées par un geste de l'utilisateur local tel qu'un geste biométrique ou en appuyant sur un bouton.
FIDO propose deux types d'expériences utilisateur en fonction du protocole utilisé[2]. Les deux protocoles définissent une interface commune au niveau du client quelle que soit la méthode d'authentification locale utilisée par l'utilisateur.
Caractéristiques
modifierLes spécifications ouvertes suivantes peuvent être obtenues sur le site Web de FIDO[3].
- Cadre d'authentification universel (UAF)
- UAF 1.0 (décembre 8, 2014)
- UAF 1.1 (février 2, 2017)
- UAF 1.2 (novembre 28, 2017)
- 2e facteur universel (U2F)
- U2F 1.0 (octobre 9, 2014)
- U2F 1.2 (juillet 11, 2017)
- FIDO 2.0 (contribué au W3C en novembre 12, 2015) [4]
- FIDO 2.0 (septembre 4, 2015)
- Protocole client à authentificateur (CTAP)
- CTAP 2.0 (septembre 27, 2017)
- CTAP 2.0 Projet de mise en œuvre (février 27, 2018)
La norme U2F 1.0 (octobre 9, 2014) est le point de départ d'une spécification éphémère connue sous le nom de FIDO 2.0 (septembre 4, 2015). Cette dernier a été officiellement soumis au World Wide Web Consortium (W3C) en novembre 12, 2015[5]. Par la suite, le premier projet de travail de la norme d'authentification Web du W3C (WebAuthn) a été publié en mai 31, 2016. La norme WebAuthn a été révisée à plusieurs reprises depuis lors, devenant une recommandation du W3C en mars 4, 2019.
Pendant ce temps l'U2F 1.2 (juillet 11, 2017) devint le point de départ du protocole Client to Authenticator 2.0 Proposition de norme, qui a été publiée en septembre 27, 2017. FIDO CTAP 2.0 complète W3C WebAuthn, qui sont tous deux concernés par le projet FIDO2 .
Jalons
modifier- (2014-10-09) publication de l'U2F 1.0
- (2014-12-08) UAF 1.0[6],[7]
- (2015-06-30) L'Alliance FIDO a publié deux nouveaux protocoles prenant en charge la technologie Bluetooth et la communication en champ proche (NFC) en tant que protocoles de transport pour U2F[8]
- (2015-09-04) Le FIDO 2.0 est publié, contenant:
- Format d'attestation de clé FIDO 2.0
- Format de signature FIDO 2.0
- FIDO API Web 2.0 pour accéder à FIDO 2.0 Informations d'identification
- (2015-11-12) L'Alliance FIDO soumet la norme FIDO 2.0 au World Wide Web Consortium (W3C)[5],[9]
- (2016-02-17) Le W3C créé le groupe de travail sur l'authentification Web
- (2017-02-02) L'UAF 1.1 est publiée
- (2017-07-11) Publication de l'U2F 1.2
- (2017-09-27) Le protocole client-vers-authentificateur 2.0 est publié
- (2017-11-28) UAF 1.2 révisée et publiée
- (2018-02-27) Le protocole client-vers-authentificateur 2.0 est publié
- (2019-03) La recommandation d'authentification Web (WebAuthn) du W3C – élément central de l'ensemble de spécifications FIDO2 de l'Alliance FIDO – devient une norme Web officielle, signalant une avancée majeure pour rendre le Web plus sûr et plus utilisable pour les utilisateurs du monde entier[10].
Articles connexes
modifierRéférences
modifier- https://www.envzone.com/why-big-tech-is-striving-for-the-world-without-password/
- « Specifications Overview », FIDO Alliance (consulté le )
- « Download Specifications », FIDO Alliance (consulté le )
- « FIDO 2.0: Overview », fidoalliance.org (consulté le )
- « Submission Request to W3C: FIDO 2.0 Platform Specifications 1.0 », World Wide Web Consortium (W3C) (consulté le )
- « FIDO 1.0 Specifications Published and Final », FIDO Alliance (consulté le )
- « Computerworld, December 10, 2014: "Open authentication spec from FIDO Alliance moves beyond passwords" », Computerworld (consulté le )
- « eWeek, July 1, 2015: "FIDO Alliance Extends Two-Factor Security Standards to Bluetooth, NFC" », eWeek (consulté le )
- « W3C Member Submission 20 November 2015: FIDO 2.0: Web API for accessing FIDO 2.0 credentials », W3C (consulté le )
- https://fidoalliance.org/overview/history/
Liens externes
modifier- Sites officiels : (en) fidoalliance.org, (zh-Hans) fidoalliance.org/?lang=zh-hans, (ja) fidoalliance.org/?lang=ja et (ko) fidoalliance.org/?lang=ko