Firefox bénéficiera de la prise en charge de l'ancienne norme de connexion sécurisée FIDO U2F dans les prochaines versions.
Mozilla, le créateur de Firefox, aimerait aller de l'avant avec le nouvelle norme WebAuthn pour des connexions au site Web plus sécurisées et plus faciles. Mais au lieu de cela, le fabricant du navigateur a décidé de faire un pas en arrière et d'activer une ancienne norme de connexion sécurisée – le prédécesseur de WebAuthn, FIDO U2F.
La raison? Les comptes Google ne prennent pas encore entièrement en charge WebAuthn, car des millions d'appareils Android actuellement utilisés ne pourront jamais le prendre en charge.
WebAuthn était ratifié seulement le mois dernier mais est déjà pris en charge par Google Chrome, Microsoft Edge, Firefox et la version préliminaire de Safari d'Apple, ainsi que par Android et Windows 10.
La norme permet aux utilisateurs de se connecter à un site Web à l'aide d'identifiants biométriques, tels qu'une empreinte digitale ou un scan du visage stockés sur un PC ou un smartphone.
WebAuthn est le successeur de l'API FIDO U2F, qui permet aux utilisateurs de se connecter aux comptes Google et à d'autres sites avec une clé de sécurité physique, telle qu'une Yubikey. L’industrie technologique dans son ensemble souhaiterait que la nouvelle norme soit adoptée le plus rapidement possible pour la faire décoller.
Comme l'explique le cryptographe de Mozilla, JC Jones, WebAuthn est « notre meilleure réponse technique au phishing d'identifiants ».
"C'est pourquoi nous l'avons défendu en tant que technologie", a-t-il écrit dans un article. expliquant pourquoi Mozilla va désormais ajouter la rétrocompatibilité pour l'API FIDO U2F dans Firefox, même s'il s'agit d'une norme obsolète et obsolète avec des options de connexion plus limitées.
"Nous encourageons l'adoption de l'authentification Web plutôt que de l'API FIDO U2F. Cependant, certaines grandes propriétés Web rencontrent des difficultés à migrer: WebAuthn fonctionne avec les informations d'identification de sécurité produites par l'API FIDO U2F", a écrit Jones.
"Cependant, les informations d'identification produites par WebAuthn ne peuvent pas être utilisées avec l'API FIDO U2F. Pour les entités concernées, cela pourrait conduire à une mauvaise expérience utilisateur et entraver l’adoption globale de cette technologie critique. »
Ces grandes propriétés Web sont des sites Google comme Gmail auxquels des milliards d'utilisateurs se connectent via des comptes Google, qui ne prennent actuellement pas en charge l'enregistrement des clés de sécurité créées avec WebAuthn.
VOIR: Comment bâtir une carrière de développeur réussie (PDF gratuit)
Jones explique sur un Liste de diffusion Mozilla que le principal obstacle réside dans le grand nombre d'appareils Android qui ne peuvent pas être mis à jour avec la prise en charge des clés de sécurité WebAuthn.
"Nous avons récemment appris que les comptes Google avaient dépassé leur calendrier d'utilisation de l'authentification Web pour enregistrer de nouvelles informations d'identification. Ce retard est attribué au fait que la prise en charge des clés de sécurité sur Android n'est pas évolutive pour la plupart des appareils", a écrit le cryptographe.
"WebAuthn est rétrocompatible avec les informations d'identification produites par l'API FIDO U2F. Cependant, les informations d'identification produites par WebAuthn ne peuvent pas être utilisées avec l'API FIDO U2F. Pour cette raison, les informations d'identification créées à l'aide de WebAuthn ne seront jamais utilisables sur la majorité des appareils Android uniquement FIDO U2F actuellement en circulation.
Firefox dispose d'un support expérimental pour l'API FIDO U2F depuis Firefox 57, publié en novembre 2017. Cependant, en raison du problème WebAuthn des comptes Android et Google, FIDO U2F sera activé par défaut pour tous les utilisateurs de Firefox, à commencer par Firefox Nightly 68 et Firefox 67 bêta, qui devraient sortir la semaine prochaine.
Cette décision fait suite à un débat entre les développeurs de Mozilla tout au long du mois de mars sur la question de savoir qui est en faute et quelle partie devrait résoudre le problème.
Mozilla considère les comptes Google comme essentiels pour permettre aux utilisateurs de Firefox de se connecter à l'aide de WebAuthn, car les utilisateurs de G Suite et de Gmail constituent la plus grande population d'utilisateurs qui s'appuient sur des clés de sécurité pour se connecter. Mais Jones note également que la prise en charge par Mozilla de FIDO U2F le laisse à la merci de Google pour décider quand prendre en charge la nouvelle norme.
Sécurité
- 8 habitudes des travailleurs à distance hautement sécurisés
- Comment trouver et supprimer les logiciels espions de votre téléphone
- Les meilleurs services VPN: comment se comparent les 5 meilleurs?
- Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite
"Il semble que la seule manière pour que les utilisateurs Firefox de comptes Google soient pleinement capables d'utiliser les clés de sécurité est de activez la prise en charge de l'API FIDO U2F afin que lesdits utilisateurs puissent s'inscrire via l'API FIDO U2F, puis s'authentifier via… eh bien, soit. Nous devrons être sûrs que Google déploiera rapidement l'authentification via WebAuthn pour le bien de l'évolution de la norme. »
Alors que la faute revenait à Google, Alexei Czeskis, de l'équipe d'identité et de sécurité de Google, est intervenu pour expliquer qu'il ne pouvait pas passer à WebAuthn tant que suffisamment d'appareils Android plus anciens ne seraient plus en circulation.
Czeskis a déclaré que le fait de retarder WebAuthn n'a rien à voir avec le niveau de motivation de l'entreprise, qui est « élevé ».
"Cela concerne les images gravées par les OEM sur les appareils Android déjà expédiés et le cycle de vie de ces appareils sur le terrain. Sans entrer dans trop de détails, pour ne pas empêcher les utilisateurs d'accéder à leurs appareils, nous ne pouvons pas basculer le registre U2F vers WebAuthn create() tant qu'il n'y a pas suffisamment de désabonnement sur les appareils Android. Vous pouvez vous attendre à ce que WebAuthn get() arrive beaucoup plus tôt, car cela n'est pas affecté", a-t-il déclaré.
"Encore une fois, cela se produit uniquement à cause de la façon dont le code qui ajoute des comptes est gravé sur certains appareils. À ma connaissance, aucun autre site Web ne se trouve dans une situation malheureuse similaire. J’espère donc (et je crois fermement) que cette décision n’encouragera pas davantage d’utilisations d’U2F (sur WebAuthn). »
Jones de Mozilla a noté que son organisation ne traiterait pas les parties incomplètes de la mise en œuvre de FIDO U2F par Firefox.
"Avec l'utilisation croissante de mécanismes biométriques tels que la reconnaissance faciale ou les empreintes digitales dans les appareils, nous concentrons notre soutien sur WebAuthn. Il fournit un niveau sophistiqué d'authentificateurs et de cryptographie qui protégeront les utilisateurs de Firefox", a-t-il écrit.
"Il est important que le Web passe à l'authentification Web plutôt que de créer de nouvelles fonctionnalités avec l'ancienne API FIDO U2F, obsolète."
En savoir plus sur WebAuthn et la connexion sécurisée
- Le W3C finalise la norme d'authentification Web (WebAuthn)
- Apple tue les mots de passe Web? Safari teste les connexions WebAuthn sur macOS
- Windows 10: le plan de Microsoft visant à supprimer les mots de passe se poursuit avec une nouvelle version de test
- Windows 10 se rapproche de la suppression des mots de passe avec les connexions Edge WebAuthn
- Des inquiétudes surgissent quant à la sécurité du nouveau protocole WebAuthn
- MWC 2019: votre futur téléphone Android, les applications n'auront pas besoin de mot de passe
- YubiKey: protégez vos comptes Facebook, Google et autres comptes en ligne avec cette clé d'authentification matérielle
- Comment rendre vos applications sans mot de passe avec Microsoft Authenticator et FIDO2 TechRépublique
- Firefox fait évoluer les navigateurs vers un avenir post-mot de passe grâce à la technologie WebAuthn CNET