Le W3C a en effet mené au stade de « 
Candidate Recommendation » (CR) le projet Web Authentication
(WebAuthn), une initiative
collaborative basée sur les spécifications d’API Web qui lui ont été soumises par
l’Alliance FIDO. La recommandation CR est le fruit du Groupe de Travail sur
l’authentification web, composé de représentants de plus de 30 organisations
membres, et elle est délivrée en amont de l’approbation finale d’une norme web. Le
W3C a invité les fournisseurs de services en ligne et les développeurs
d’applications web à mettre en œuvre cette nouvelle
spécification.

La spécification WebAuthn définit une API web standard pouvant être intégrée dans
les navigateurs et l’infrastructure des plateformes web correspondante afin d’offrir
aux utilisateurs de nouvelles méthodes d’authentification sécurisée sur Internet,
dans leurs navigateurs, sur les différents sites visités et sur leurs multiples
terminaux. Développée en coordination avec l’Alliance FIDO, la spécification
WebAuthn est l’un des piliers du projet FIDO2, au côté de la spécification CTAP
(Client to Authenticator Protocol) de FIDO.
Cette dernière permet à un authentificateur externe — une clé de sécurité ou un
smartphone, par exemple — de transmettre localement des identifiants
d’authentification forte au système d’accès Internet de l’utilisateur (PC ou
téléphone portable) par protocole USB, Bluetooth ou sans contact (NFC). Ensemble,
les spécifications FIDO2 permettent aux utilisateurs de s’authentifier facilement
pour accéder à des services en ligne à partir d’un terminal fixe ou mobile, en
bénéficiant d’un niveau de sécurité capable de repousser les tentatives de phishing.

Google, Microsoft et Mozilla se sont engagés à intégrer la spécification WebAuthn
dans leurs navigateurs et ont entamé son déploiement dans les environnements
Windows, Mac, Linux, Chrome OS et Android. Les spécifications
WebAuthn et CTAP sont toutes deux disponibles dès
aujourd’hui, ce qui permet aux développeurs et aux fabricants de prendre
immédiatement en charge la spécification d’authentification FIDO de nouvelle
génération dans leurs produits et services.

La finalisation des activités de normalisation FIDO2, la promotion de la
spécification WebAuthn au rang de norme par le W3C, et l’engagement des plus grands
éditeurs de navigateurs à la mettre en place, ouvrent une nouvelle ère en faveur
d’une protection ubiquitaire par l’authentification FIDO au niveau matériel pour
l’ensemble des utilisateurs d’Internet.
Pour leur protection, ainsi que celle de leurs clients, contre les risques associés
à l’utilisation de mots de passe — phishing, attaques par l’homme du milieu (man in
the middle) et utilisation d’identifiants volés —, les grandes entreprises et les
fournisseurs de services en ligne pourront prochainement déployer une
authentification forte normalisée mise en œuvre par l’intermédiaire du navigateur ou
d’un authentificateur externe. En déployant l’authentification FIDO, les services en
ligne permettront aux internautes de choisir la solution qui leur convient au sein
d’un écosystème interopérable d’appareils qu’ils utilisent au quotidien, qu’il
s’agisse de leur téléphone mobile ou d’une clé de sécurité.

La normalisation des nouvelles spécifications FIDO2 dans les navigateurs et les
systèmes d’exploitation élargira la portée de l’authentification FIDO, qui est
considérée comme une référence par les organismes de régulation et de normalisation
du monde entier. L’authentification FIDO est en effet déjà disponible sur des
centaines de millions de terminaux et proposée à plus de 3,5 milliards de comptes
utilisateurs sur toute la planète, par le biais de services offerts par des sociétés,
telles que Google, Facebook, NTT DOCOMO ou encore Bank of America. Les nouvelles
spécifications complètent les scénarios d’utilisation existants, tels que FIDO UAF
(authentification sans mot de passe) et FIDO U2F (authentification à deux facteurs),
et élargissent la disponibilité de l’authentification FIDO. Les navigateurs web et
les services en ligne FIDO2 sont entièrement rétrocompatibles avec la totalité des
clés de sécurité FIDO certifiées précédemment.

L’Alliance FIDO entamera bientôt des essais d’interopérabilité et délivrera des
certifications pour les serveurs, clients et authentificateurs qui adhèrent aux
spécifications FIDO2. Les outils de test sont disponibles sur le site de l’Alliance
FIDO. Par ailleurs, l’Alliance
annoncera prochainement une nouvelle certification « Universal Server » destinée aux
serveurs qui interopèrent avec tous les types d’authentificateurs FIDO (FIDO UAF,
FIDO U2F, WebAuthn, CTAP).