Les applications mobiles et les sites Internet peuvent désormais s’appuyer sur les normes FIDO pour offrir aux utilisateurs une authentification biométrique plus simple et mieux sécurisée sur plus d’un milliard d’appareils compatibles avec Android 7.0+
L’Alliance FIDO annonce qu’Android est désormais certifié FIDO2.  Cette certification contribuera à simplifier et à renforcer les capacités d’authentification de plus d’un milliard d’appareils qui utilisent quotidiennement cette plateforme. Cette annonce implique que tout appareil compatible fonctionnant sous Android 7.0+ est désormais certifié FIDO2 dès sa sortie, ou après une mise à jour automatique des services Google Play. Grâce à cette certification, les consommateurs pourront utiliser le capteur d’empreintes digitales intégré de leur appareil et/ou les clés de sécurité FIDO pour bénéficier d’un accès sécurisé sans mot de passe aux sites Internet et aux applications natives prenant en charge les protocoles FIDO2.
Les développeurs Web et applicatifs peuvent désormais intégrer l’authentification forte FIDO à leurs applications et sites Internet basés sur Android via un simple appel à l’API.
Cela leur permettra d’offrir une sécurité sans mot de passe, et résistante au phishing, à une base d’utilisateurs finaux en pleine expansion qui possèdent déjà des terminaux Android à la pointe de la technologie, et/ou qui feront l’acquisition de nouveaux appareils plus modernes à l’avenir.
« Google travaille depuis longtemps avec l’Alliance FIDO et le W3C pour normaliser les protocoles FIDO2. Ceux-ci permettent à n’importe quelle application d’aller au-delà de l’authentification par mot de passe, tout en offrant une protection contre les attaques de phishing, explique Christiaan Brand, chef de produit, chez Google. La certification FIDO2 obtenue par Android contribue à faire avancer cette initiative. Elle offre à nos partenaires et développeurs une approche normalisée pour accéder aux magasins de clés (keystores) sécurisés sur les appareils déjà présents sur le marché, ainsi que sur les modèles à venir, afin d’établir des contrôles biométriques pratiques pour les utilisateurs ».
Déjà pris en charge par les principaux navigateurs internet Google Chrome, Microsoft Edge et Mozilla Firefox (avec, en avant-première, la prise en charge par Apple Safari), FIDO2 comprend la spécification d’authentification Web du World Wide Web Consortium (W3C) et le protocole CTAP (Client to Authenticator Protocol) correspondant de l’Alliance FIDO. Ensemble, ces normes permettent aux utilisateurs de se connecter plus facilement et en toute sécurité aux services en ligne, à l’aide de dispositifs compatibles avec FIDO2, tels que des lecteurs d’empreintes digitales, des appareils photo et/ou des clés de sécurité FIDO.
« FIDO2 a été conçu dès le premier jour pour être implémenté par les plateformes, avec l’objectif ultime d’ubiquité sur tous les navigateurs internet, appareils et services que nous utilisons tous les jours. Par cette annonce, Google augmente de façon spectaculaire et décisive le nombre d’utilisateurs profitant des capacités d’authentification FIDO, ajoute Brett McDowell, directeur général de l’Alliance FIDO. Dans la mesure où les principaux navigateurs Internet sont déjà conformes à la norme FIDO2, le temps est désormais venu pour les développeurs de sites de libérer leurs utilisateurs des risques et des tracas liés à l’utilisation de mots de passe et d’intégrer l’authentification FIDO ».
La simplicité de l’expérience utilisateur de FIDO2 s’appuie sur une sécurité cryptographique forte, qui est transparente pour l’utilisateur et qui protège contre le phishing, les attaques de l’homme au milieu (« man-in-the-middle »), et les attaques utilisant des identifiants volés. La prise en charge de FIDO2 s’est accrue depuis l’introduction des spécifications au printemps dernier. En plus de la prise en charge des navigateurs et des plateformes, plusieurs produits certifiés FIDO2 ont été annoncés pour en appuyer la mise en œuvre.
Les fabricants d’appareils qui souhaitent bénéficier d’une certification prête à l’emploi et afficher le logo FIDO Certified sur leurs appareils Android doivent consulter le nouvel accord relatif à l’utilisation de la marque et des services de FIDO.
| 