Cette nouveauté ouvre une nouvelle voie à des inscriptions, des connexions et des transactions plus fluides et sécurisées tout offrant la possibilité de s’émanciper davantage des mots de passe désuets. Dans le monde, 22% des utilisateurs font confiance aux appareils Apple. En France, c’est à peu près 25% des utilisateurs, ce qui avec cette annonce, entraîne une augmentation du nombre d’appareils compatibles FIDO2 en France. Plus précisément, Safari 14 offre désormais la possibilité de se connecter grâce à la biométrie via Touch ID et Face ID des appareils Apple, sur les sites Web prenant en charge le protocole d’authentification Web des normes FIDO2.
FIDO2 est la dernière spécification de la FIDO Alliance (Fast Identity Online) non commerciale créée dans le but de développer des normes libres de droits pour une authentification sécurisée au niveau mondial sur le World Wide Web.
Grâce à Google, Microsoft, Firefox et dorénavant Apple, la plupart des appareils dotés d’un navigateur Web mis à jour peuvent profiter de cette technologie sur n’importe quel site Web prenant en charge FIDO.
Andrew Shikiar, directeur exécutif et CMO de l’Alliance FIDO, a déclaré : “La prise en charge FIDO dans Safari 14 par Apple est très importante car désormais toute plate-forme et appareil informatique récent peut prendre en charge l’authentification FIDO, ce qui se traduit par une meilleure expérience utilisateur tout en optimisant le sécurité et l’intégrité de l’économie Web.”
Grâce à cette prise en charge supplémentaire de FIDO, les banques et les sites e-commerce peuvent mettre en œuvre des parcours encore plus fluides (sans aucune “friction”) et entièrement sécurisés pour tout accès en ligne qu’il s’agisse de compte ou de transaction. D’innombrables transactions échouent chaque année en raison de problèmes liés aux mots de passe ou même aux mots de passe à usage unique lors de l’inscription ou à la connexion. C’est une source incontournable de business pour les banques et les sites e-commerce. Ils peuvent désormais offrir aux clients une authentification forte “sans friction” et augmenter les taux de transformation en utilisant un simple geste.
En plus de fournir une expérience utilisateur plus poussée, il s’agit d’une excellente opportunité pour les banques et les sites e-commerce d’aider leurs clients à se débarrasser des mots de passe tout en réduisant les coûts et en augmentant la sécurité.
Il est très important que les acteurs du Web commencent à imaginer un avenir sans mot de passe. Réduire notre dépendance à leur égard et évoluer vers des solutions comme FIDO aidera à briser la spirale infernale du vol d’informations d’identification et les nuisances qui en découlent et qui coûtent cher aux acteurs du Web du monde entier.
Sur un smartphone, le scan facial compare le visage actuel avec celui déjà stocké sur l’appareil. Il ne recherche jamais une correspondance dans le cloud et il n’y a aucune connexion data non plus. L’analyse confirme simplement que la personne qui demande l’accès à, par exemple, un ordinateur portable, un smartphone ou un site Web particulier est bien qui il prétend être. Cette approche utilise une comparaison un à un qui permet spécifiquement à un utilisateur d’accéder à une machine, un site Web ou une application au lieu de prendre le risque et le défi d’utiliser un mot de passe. Les problèmes surviennent lorsque les données biométriques sont stockées dans une base de données centralisée.
Face ID d’Apple, qui est sans doute la plus connue des applications d’authentification faciale, chiffre les données sur une puce dans l’appareil de l’utilisateur, tout comme la biométrie d’Android et les PC Windows 10 qui utilisent des caméras (ou des scanners d’empreintes digitales) pour Windows Hello.
La menace d’usurpation d’identité ne signifie pas que nous devons abandonner la biométrie, mais simplement que nous devons être réalistes sur la course aux armements menée par les pirates informatiques, et aussi être sûrs d’établir et de suivre les meilleures pratiques d’authentification biométrique. En plus de ne stocker que les données biométriques sur l’appareil, les fournisseurs de services doivent prendre une deuxième étape, qui consiste à tirer parti de la technologie disponible qui vérifie la possession physique de l’appareil personnel de l’utilisateur autorisé chaque fois que l’identification biométrique est demandée.
Suivez ces deux étapes
Un criminel aurait besoin de votre biométrique et de votre appareil pour tenter une attaque ! Et si nous savons quelque chose sur les hackers, c’est que s’ils n’ont pas d’issus, ils ne vont pas s’en occuper.