Android en marche pour démocratiser la certification Fido2

Android vient peut-être de faire une contribution significative en faveur d’un monde sans mots de passe, en recevant la certification Fido2 pour ses versions 7.0 et ultérieures. L'Alliance Fido vient d’accorder celle-ci, qui permettra aux utilisateurs de se connecter à des sites et des applications Web simplement en s’authentifiant sur leur terminal mobile à l’aide du capteur d'empreintes digitales intégré – et non pas seulement avec une clé de sécurité compatible comme cela a été longtemps le cas.

Les versions 7.0 et plus d’Android ne représentent environ que 50 % de l'écosystème mobile de Google. Mais cela se traduit tout de même par plus d’un milliard de terminaux. Dans un communiqué, l’Alliance Fido estime que cette certification doit permettre aux « développeurs Web et applicatifs d’ajouter l'authentification forte Fido à leurs applications et sites, via un simple appel à une API, pour apporter une sécurité résistante au phishing, sans mot de passe, à une base d'utilisateurs finaux en pleine expansion qui possèdent déjà des appareils Android de pointe et/ou vont passer à de nouveaux appareils dans le futur ».

Fido2 consiste en deux parties : les API WebAuthn développées par le World Wide Web Consortium et le protocole Client to Authenticator développé par l'Alliance Fido. Pour Mark Risher, responsable de la sécurité des comptes chez Google, ces protocoles d'authentification constituent une importante évolution parce qu’ils suppriment la « charge de la responsabilité » de l'utilisateur.

La prise en charge de l'authentification Fido2 a été poussée via Google Play. Chrome pour Android prend en charge Fido2 depuis sa version 72, qui a commencé à être déployée fin janvier.

Il n'est pas clair si d'autres navigateurs Android, comme celui de Samsung ou Mozilla Firefox, prévoient de tirer profit de la certification Fido2 d’Android pour le supporter eux-mêmes.

La balle est désormais dans le camp des développeurs. Andrew Shikiar, directeur marketing de l’alliance Fido, explique que ceux-ci « doivent faire plus que simplement mettre à jour le JavaScript sur les pages de connexion de leurs sites Web. Ils doivent également intégrer la prise en charge de Fido2 dans leur infrastructure d'authentification afin de pouvoir traiter les nouveaux messages que le navigateur Web transmettra entre l'appareil de l'utilisateur et le serveur du site Web. La bonne nouvelle, c'est qu’un nombre croissant de solutions serveur supporte Fido2 ».

Andrew Shikiar souligne au passage la jeunesse relative de Fido2, qui ne date que d’avril 2018 : « les neuf derniers mois [ont] été consacrés à la mise en place de l'infrastructure nécessaire pour que les sites Web puissent l’implémenter ». Et justement, d’importants déploiements ont déjà eu lieu, notamment chez Microsoft ou Yahoo, au Japon.

Une chose est sûre, pour lui, l’entrée en jeu d’Android finit, après celle de Windows 10, de poser les bases nécessaires à une adoption plus large.