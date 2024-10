Dans un article publié lundi, la FIDO Alliance a annoncé deux nouvelles spécifications destinées à aider les utilisateurs à déplacer de manière sécurisée des passkeys dans un gestionnaire d’identifiants. Ces spécifications ont été développées par le groupe d’intérêt spécial Credential Provider de FIDO, qui inclut des acteurs tels que 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta, Samsung et SK Telecom.

FIDO a pour objectif d’étendre l’adoption des passkeys, une option d’authentification relativement nouvelle conçue pour remplacer les mots de passe, face à l’évolution des menaces d’ingénierie sociale. Okta et Google ont tous deux introduit la prise en charge des passkeys l’an dernier.

Désormais, les spécifications proposées par FIDO, nommées Credential Exchange Format (CXF) et Credential Exchange Protocol (CXP), permettraient aux entreprises d’exporter et d’importer des passkeys et d’autres identifiants d’un fournisseur à un autre de manière sécurisée.

Des formats universels pour sécuriser les transferts Nick Steele, responsable produit chez 1Password et co-président de la FIDO Alliance, a détaillé ces nouvelles spécifications dans un article de blog publié lundi. Bien que les passkeys protègent contre le phishing et d’autres menaces liées à la gestion des identités (IAM), Steele a souligné qu’il n’existe actuellement aucun moyen sécurisé de les transférer entre différents gestionnaires de mots de passe. Il a qualifié cela de « limitation technique » et a expliqué que c’est l’une des raisons pour lesquelles les utilisateurs pourraient préférer les mots de passe aux passkeys. « Ces spécifications fournissent un format universel et un mécanisme sécurisé pour transférer toutes sortes d’identifiants, y compris les passkeys, les mots de passe traditionnels et tout ce qui est généralement géré via un fichier CSV », explique Nick Steele dans son article de blog. Il a également précisé à TechTarget – éditeur du MagIT – que les spécifications utilisent les mêmes mécanismes que TLS, qui aide à établir une connexion cryptée. « Nous utilisons l’échange de clés Diffie-Hellman pour chiffrer les identifiants en déplacement, et ils ne peuvent être déchiffrés que par le fournisseur importateur. En plus de la norme, nous ajoutons également une fonctionnalité permettant aux entreprises d’agir en tant qu’autorisateur, de sorte que les fournisseurs ne puissent déplacer des identifiants qu’avec l’autorisation expresse de l’entreprise propriétaire du compte fournisseur », a-t-il déclaré par e-mail.

Complexité accrue pour les fournisseurs Nick Steele a cité des défis potentiels, la plupart liés à l’expérience utilisateur. « À mesure que les identifiants deviennent plus complexes, comme avec les mDLs (permis de conduire mobiles), il est important que les utilisateurs comprennent comment et quand ces identifiants sont échangés entre les portefeuilles », a-t-il précisé. La FIDO Alliance et ses partenaires ont publié les spécifications proposées afin de recueillir des retours de la communauté de la sécurité avant une sortie officielle. Bien qu’il n’y ait pas de date de sortie officielle, Nick Steele indique que FIDO publiera une version de révision publique des spécifications CXP et CXF au premier trimestre 2025. Et d’ajouter que 1Password et Bitwarden publieront une bibliothèque open source en Rust pour démontrer les spécifications et espérer accélérer leur mise en œuvre.