Le 10 avril 2018 marque un pas important dans ce domaine. Si la disparition des mots de passe n'est pas encore tout à fait pour demain, une première étape a été franchie dans cette direction.

Une nouvelle spécification décrivant les méthodes d'authentification sécurisée sur Internet vient en effet d'être adoptée par le World Wide Web Consortium (W3C) et l'Alliance FIDO (Fast IDentity Online), permettant l'accès sécurisé sans mot de passe.

Le mot de passe pourrait bien disparaître un jour ; en tous cas, il sera beaucoup moins utilisé à l'avenir.

Quelle que soit sa complexité, ce moyen de protection des données n'est pas infaillible, notamment avec les capacités de calcul croissantes des ordinateurs modernes, qui permettent de deviner les mots de passe en un temps de plus en plus réduit, avec par ailleurs des attaques croissantes par phishing d'autre part.

Etre infaillible face au phishing

C'est dans ce contexte que se sont réunis ce 10 avril 2018 le World Wide Web Consortium (une organisation internationale qui rassemble 400 membres et qui a défini, entre autres, les standards HTML5 et CSS) et l'Alliance FIDO (Fast IDentity Online, une alliance ayant pour objectif de « révolutionner le monde de l'authentification grâce à des normes plus simples et plus sécurisées »).

-         Au terme de cette réunion, la spécification WebAuthn a été retenue.

C'est cette spécification qui définira la manière dont nous nous connecterons aux sites Internet à l’avenir.

Concrètement, la spécification WebAuthn permet à un authentificateur externe, une clé de sécurité ou un smartphone par exemple, de transmettre localement des identifiants d'authentification forte au système d'accès Internet de l'utilisateur (PC ou téléphone portable) par protocole USB, Bluetooth ou sans contact (NFC).

Elle permet à l'utilisateur de s'authentifier facilement pour accéder à des services en ligne à partir d'un terminal fixe ou mobile, sans s'exposer au risque de phishing.

-         Google, Microsoft et Mozilla se sont engagés à intégrer la spécification WebAuthn dans leurs navigateurs et ont d'ores et déjà entamé son déploiement dans les environnements Windows, Mac, Linux, Chrome OS et Android.

Elle est désormais publiquement disponible et permet ainsi  aux développeurs et aux fabricants de s'en servir sans tarder pour les applications et le matériel en cours de conception.