Android certifié FIDO2

Il est fort peu probable que tous les utilisateurs de terminaux Android et tous les développeurs d’applications se convertissent soudain à l’authentification par clé de sécurité physique. Mais la prise en charge par Android 7.0 et ultérieurs du standard FIDO2 démocratise un peu plus cette méthode.

La fin des mots de passe n’est pas pour tout de suite, mais on s’en rapproche. D’autant que désormais « plus d’un milliard d’appareils » vont pouvoir s’en passer, en théorie du moins. En effet, Android, à partir de sa version 7.0 (Nougat), vient d’être certifié FIDO2. « Par cette annonce, Google augmente de façon spectaculaire et décisive le nombre d’utilisateurs profitant des capacités d’authentification FIDO » se réjouit Brett McDowell, le directeur général de l’Alliance FIDO.

FIDO2 est une évolution des spécifications FIDO UAF et U2F (cette norme ne vient néanmoins pas s’y substituer mais se veut complémentaire). Le standard comprend la spécification WebAuthn du W3C qui définit une API permettant « la création et l'utilisation d'identifiants forts, attestés, étendus et basés sur une clé publique par les applications Web » et le protocole Client to Authenticator de l’alliance FIDO. CTAP est dédié aux périphériques d’authentification externes (les clés Yubikey par exemple), leur permettant de fonctionner avec WebAuth.

Bientôt Windows 10 et Safari

« Ensemble [ces deux spécifications] permettront aux utilisateurs de s’appuyer sur des périphériques courants pour s’authentifier facilement sur des services en ligne, dans des environnements mobiles et de bureau » expliquait l’alliance dans son document de travail. FIDO2 est déjà supporté par Chrome, Edge, Firefox et bientôt Safari, Windows 10 devrait suivre sans trop tarder.

L’annonce de la prise en charge par Android, 7.0 et ultérieurs, les développeurs d’applications pourront proposer à leurs utilisateurs de se connecter par le biais du capteur d’empreinte de leur terminal ou d’une clé de sécurité externe, cette authentification passant par un simple appel d’API. « Google travaille depuis longtemps avec l’Alliance FIDO et le W3C pour normaliser les protocoles FIDO2 » souligne Christiaan Brand, chef de produit chez Google. « La certification FIDO2 obtenue par Android  […] offre à nos partenaires et développeurs une approche normalisée pour accéder aux magasins de clés (keystores) sécurisés sur les appareils déjà présents sur le marché, ainsi que sur les modèles à venir, afin d’établir des contrôles biométriques pratiques pour les utilisateurs ».