Une décennie d’identité fédérée – Le FIDO est-il adopté ?
Les discussions autour de la suppression des mots de passe et de la garantie de processus d’authentification plus fluides et plus sécurisés durent depuis des années. Alors que l’Alliance FIDO recrute davantage de partenaires et continue de faire des annonces marquantes, à quoi ressemble réellement son adoption ? Dan Raywood se penche sur la première décennie de l'identité fédérée.
Cette année marque le dixième anniversaire des premières graines de l’alliance FIDO (Fast IDentity Online). Lors de cette première réunion, le jour de la Saint-Valentin 2013, le rassemblement des dirigeants de l'Alliance FIDO a défini ce que Alliance FIDO était prévu de faire et quelles étaient les prochaines étapes.
Un consortium industriel ouvert « fournissant des normes pour une authentification plus simple et plus forte », le concept était celui d'une norme industrielle ouverte pour l'authentification sécurisée en ligne et mobile. Composée de noms influents du secteur de la technologie, des services financiers et des principaux sites Web, l'idéologie de l'Alliance FIDO était de « permettre une authentification plus simple et plus forte à grande échelle sur le marché ».
Le premier produit est arrivé 18 mois plus tard lorsque Google a lancé le Clé de sécurité, le premier déploiement d'authentification FIDO Universal Second Factor (FIDO U2F). Il s’agissait d’un périphérique USB physique de deuxième facteur qui offrait une alternative aux codes d’accès à usage unique à six chiffres. L'année suivante, une centaine de produits certifiés FIDO ont été lancés, et leur nombre s'élève à 150 au moment où l'Alliance FIDO célèbre son deuxième anniversaire.
Cependant, quelques années après son lancement, la norme FIDO2 a été introduite, permettant aux utilisateurs de « tirer parti des appareils courants pour s'authentifier facilement auprès des services en ligne dans les environnements mobiles et de bureau ».
FIDO2 est basé sur deux normes : WebAuthn et Client to Authenticator Protocol (CTAP), et construit autour de la sécurité et de la commodité : la sécurité car les informations de connexion sont uniques sur chaque site Web, ne quittent jamais l'appareil de l'utilisateur et ne sont jamais stockées sur un serveur ; et la commodité, car les utilisateurs déverrouillent les informations de connexion cryptographiques avec des méthodes intégrées telles que des lecteurs d'empreintes digitales ou des caméras sur leurs appareils, ou en tirant parti des clés de sécurité FIDO.
Le soutien le plus fort a peut-être été celui d'Apple l'année dernière, lorsqu'il a annoncé le lancement du Passkey compatible FIDO2, qui est construit sur WebAuthn, et où une combinaison d'une clé publique et privée est utilisée et est compatible avec Touch ID et Face ID.
FIDO 2 est-il bien adopté par l’industrie ?
Toutes ces années, dans quelle mesure la norme FIDO2 est-elle devenue bien acceptée et adoptée ? Andrew Shikiar, directeur exécutif de FIDO Alliance, a déclaré que le concept initial de FIDO Alliance était de « résoudre le problème de violation de données, car les mots de passe en étaient la cause la plus grande partie, et si nous les supprimons, le problème disparaîtra ».
En termes d'adoption par l'industrie, l'Alliance FIDO Baromètre d'authentification à partir d'octobre 2022 a révélé que l'utilisation des mots de passe avait diminué dans les secteurs verticaux qu'elle surveillait, tandis que l'adoption de l'authentification multifacteur via des codes d'accès à usage unique par SMS était en augmentation.
Shikiar estime que l'adoption de FIDO2 continue d'augmenter, en particulier avec l'adhésion des navigateurs Web, où Microsoft et Google « ont construit une adoption qui permet à FIDO d'être en mesure d'accepter des mots de passe ».
Shikiar dit que pour la personne moyenne, les sites WebAuthn restent généralement inconnus. Néanmoins, l’adoption accrue de FIDO2 se traduira par une augmentation de la MFA et une réduction de l’utilisation des mots de passe, ce qui peut entraîner davantage d’avantages commerciaux. « Les entreprises verront une plus grande disponibilité de leurs employés, un taux de réussite plus élevé et des coûts informatiques réduits », ce qui entraînera à la fois des économies de coûts et des employés plus heureux.
Une entreprise qui a vu les avantages est Au-delà de l'identité, qui a annoncé avoir reçu la certification FIDO2 début 2023. Fournisseur de produits sans mot de passe et MFA, son directeur marketing Patrick McBride affirme que FIDO2 profite à Beyond Identity de plusieurs manières. "Sur le plan technologique, cela nous offre un moyen standard d'exploiter les clés d'accès et de multiples façons d'intégrer d'autres technologies compatibles FIDO2."
Cela valait-il la peine de devenir une entreprise conforme à FIDO2 et de rejoindre cette initiative ? McBride affirme que c'est le cas, car Beyond Identity est un «membre de l'alliance FIDO portant une carte pluriannuelle» avec plusieurs plans de produits supplémentaires sur la feuille de route qui exploiteront diverses parties de la norme FIDO2.
« Nous pensons donc que le jus FIDO en vaut vraiment la peine – tant sur le plan technique que sur le plan de l’éducation commerciale. »
FIDO établit la norme
Le FIDO ayant été largement adopté par d’éminents noms du web, mérite-t-il désormais d’être considéré comme l’une des normes significatives en matière de cybersécurité ? Shikiar est d'accord, affirmant que l'authentification forte est une « priorité absolue pour les entreprises » car elle permet des employés plus productifs et un meilleur taux de connexion. Dans un cas, une entreprise a vu ses bénéfices augmenter grâce à cela. « Nous investissons dans l'expérience utilisateur, car les gens seront rebutés si c'est trop compliqué », dit-il.
La prochaine étape vers l'adoption de FIDO2 sera lorsque les régulateurs et potentiellement même les fournisseurs de cyber-assurance l'obligeront à garantir un type d'authentification plus sécurisé et éprouvé afin de mieux réduire les risques de violation de données et de supprimer les mots de passe.
Jonathan Armstrong est associé chez Corderie et a déclaré que même s'il n'était au courant d'aucune réglementation exigeant une authentification forte, il n'exclurait pas que cela se produise à l'avenir. « Souvent, les lois et réglementations sur la sécurité des données suivent les événements », dit-il. S’il y a une violation significative et qu’un changement est requis par l’opinion publique, c’est alors qu’une règle d’authentification plus forte pourrait entrer en vigueur. « Certains pays pourraient ajouter des éléments de ce type dans leur mise en œuvre locale de NIS II ; Je n’en ai pas encore entendu parler, mais c’est certainement une possibilité.
Outre les facteurs réglementaires, il existe également des considérations liées à la cyberassurance, et Shikiar affirme que l'adoption de FIDO2 pourrait contribuer à une meilleure politique car elle montre que l'entreprise est mieux protégée. « Une simple étape pour adopter FIDO pour l’AMF peut répondre à une menace numéro un et contribuera à favoriser une adoption plus poussée. »
Au cours de la dernière décennie, nous avons été témoins de nombreux incidents de violations de données et de pertes de mots de passe, et les entreprises continuent de lutter contre ce problème ainsi que celui de maintenir les employés en ligne et capables d'accéder aux appareils, ordinateurs de bureau et applications. L'adoption de FIDO2 fait des vagues pour permettre aux entreprises d'être plus sécurisées face à un problème commun, et un plus grand nombre d'entreprises parvenant à se conformer devraient être les bienvenues.
Renforcez la sécurité de vos informations dès aujourd'hui
Si vous souhaitez commencer votre voyage vers une meilleure sécurité des informations, nous pouvons vous aider.
Notre solution ISMS permet une approche simple, sécurisée et durable de la sécurité des informations et de la gestion des données avec ISO 27001 et plus de cinquante autres frameworks. Réalisez votre avantage concurrentiel dès aujourd’hui.
