VT2018 FIDO

=Auteur=
 * Nom : Najwa EZ-ZINE
 * Sujet : FiDO

=Résumé=

À l'heure actuelle, les experts en sécurité doivent faire face à un dilemme : renforcer la sécurité ou améliorer l'expérience utilisateur. C'est avec pour but de mettre fin à ce dilemme que les poids lourds du secteur informatique se sont alliés, formant la Fido Alliance. Pour produire une solution alliant renforcement de la sécurité et amélioration de l'expérience utilisateur.

=Abstract=

Currently, experts in cybersecurity are facing a dilemma : strenghtening security or improving the overall user experience. With a strong will to put an end to this dilemma the biggest companies in the world joined forces forming the FIDO Alliance. To produce a solution to both problems, strenghtening security and user experience.

=Synthèse=

Après 4 ans de travail est né le protocole U2F. Principalement développé par Yubico et Google, il décrit l'utilisation d'une clé de sécurité pour l'authentification.

Introduction U2f
L'idée principale est d'utiliser du hardware pour s'authentifier, une clé USB par exemple. La clé USB présente plusieurs avantages. Tout d'abord elle est complètement séparée de l'outil permettant l'accès au service. Ce qui rajoute une couche de protection, une étape de plus à franchir pour accéder aux données pour une personne mal intentionnée. La clé est aussi très simple d'utilisation. Il suffit en effet simplement d'appuyer sur un bouton pour établir la connexion.

Fonctionnement
La clé repose sur de la cryptographie asymétrique, c'est-à-dire une paire de clé privé et publique. Il y a 2 modes principaux d'utilisation de la clé. On appelle ces modes : cérémonies. Tout d'abord, quand je souhaite utiliser ma clé pour la première fois, je dois l'enregistrer au sein de ce service. Il s'agit de la cérémonie d'enregistrement. Le second mode, est l'authentification. Quand je souhaite m'authentifier en utilisant ma clé, j'enclenche la cérémonie d'authentification.

Résultats
Le protocole U2F est un véritable succès:
 * il réduit de moitié le temps d'authentification.
 * Le nombre d'incident avec une utilisation de la clé U2f est de 2 à 2.5 fois moins important

Futur?
Le monde de demain sera un monde sans mot de passe. C'est en tout cas l'objectif ultime de la FiDO Alliance. Elle s'est d'ailleurs alliée avec WC pour produire une API permettant l'authentification à l'aide de la reconnaissance faciale, les empreintes digitales et autres.

Références
https://fidoalliance.org/

https://en.wikipedia.org/wiki/FIDO_Alliance

https://fr.wikipedia.org/wiki/Universal_Second_Factor

https://www.devopsdays.org/events/2018-seattle/program/jen-tong/

https://www.journaldugeek.com/2018/04/12/webauthn-futur-web-de-passe-se-rapproche/

https://www.yubico.com/