Revenir au glossaire

Renforcez la sécurité des connexions avec WebAuthn : son Intégration dans notre solution de Pam-Bastion PROVE IT

Dans le paysage numérique actuel, la sécurité des systèmes d’information est plus cruciale que jamais. Les attaques deviennent de plus en plus sophistiquées, et les méthodes d’authentification traditionnelles, basées sur les mots de passe, montrent leurs limites. Chez Rubycat, spécialisée dans l’édition de solutions de cybersécurité, nous sommes fiers d’annoncer l’intégration de WebAuthn dans notre solution logicielle de Pam-Bastion PROVE IT. Cet article explore les avantages de WebAuthn et comment cette intégration va renforcer la sécurité de votre infrastructure.

Qu’est-ce que WebAuthn ?

WebAuthn, ou Web Authentication, est une norme développée par le World Wide Web Consortium (W3C) et l’Alliance FIDO (Fast IDentity Online). Elle vise à offrir une méthode d’authentification plus sécurisée en utilisant des dispositifs d’authentification externes comme des clés de sécurité, des smartphones ou des dispositifs biométriques. WebAuthn est plus connue pour ses implémentations les plus répandues : les Passkeys (ou clef d’accès) et Windows Hello. Le fonctionnement de WebAuthn repose sur la cryptographie à clé publique, où une paire de clés (publique et privée) est générée. Lors de l’inscription, la clé privée reste sur le dispositif d’authentification tandis que seule la clé publique est envoyée au serveur (pour comparaison, avec l’usage d’un mot de passe classique, vous devez envoyer ce mot de passe, votre secret le plus cher !). Lors de la connexion, le serveur envoie un challenge que le dispositif signe avec la clé privée, prouvant ainsi l’identité de l’utilisateur sans exposer de secrets sensibles. 

WebAuthn élimine les faiblesses des mots de passe, qui sont souvent réutilisés, faibles, ou facilement volés via des attaques de phishing. Avec WebAuthn, les utilisateurs peuvent se connecter de manière sécurisée et conviviale en utilisant une variété de dispositifs. Les solutions FIDO2 telles que les clés de sécurité (comme les Yubikeys), les smartphones récents, et même les dispositifs biométriques comme les lecteurs d’empreintes digitales, sont tous compatibles avec WebAuthn, offrant ainsi flexibilité et robustesse. Cette norme est également prise en charge par tous les principaux navigateurs modernes, facilitant son adoption par les développeurs et les utilisateurs. 

Fonctionnalités principales de l’intégration de WebAuthn

Cette nouvelle fonctionnalité permet aux utilisateurs de se connecter sans avoir à se souvenir de mots de passe complexes. En outre, notre solution supporte une variété de dispositifs d’authentification (comme les solutions FIDO2 comme les Yubikeys ou Microsoft Hello), offrant ainsi flexibilité et convenance aux utilisateurs.

Phase d’enregistrement : 

1. L’utilisateur enrôle un dispositif. L’enrôlement est le processus d’enregistrement d’un dispositif d’authentification (comme une clé de sécurité ou un appareil biométrique) avec un service en ligne pour l’utiliser ultérieurement pour la vérification d’identité. Cela implique la création et le stockage d’une clé publique unique associée à l’utilisateur. 

2. Ce dispositif d’authentification qui peut être une clé USB ou un lecteur d’empreintes digitales génère une paire de clés publique/privée. 

3. La clé publique est ensuite envoyée au serveur et est associée au compte utilisateur. Alors que la clé privée reste sécurisée sur le dispositif. 

       

      Phase d’authentification : 

      1. Lors de la connexion, le serveur envoie un défi (challenge) au dispositif de l’utilisateur. 

      2. L’utilisateur active ensuite son dispositif d’authentification (qui peut être le fait de toucher une clé de sécurité ou d’utiliser une solution de biométrie). 

      3. Le dispositif signe le défi avec la clé privée (uniquement après avoir fait des vérifications anti-phishing). 

      4. Enfin, le serveur vérifie cette signature en utilisant la clé publique précédemment enregistrée. 

           

          Avantages et comparaison avec d’autres méthodes d’authentification

          Avantages de WebAuthn

          Sécurité 

          WebAuthn offre une sécurité renforcée en réduisant les vulnérabilités liées aux mots de passe. Les mots de passe traditionnels sont souvent faibles, réutilisés, ou facilement volés via des attaques de phishing. En éliminant les mots de passe, WebAuthn réduit considérablement ces risques. De plus, WebAuthn facilite la mise en place de l’authentification multi-facteurs (MFA), combinant ainsi la sécurité de plusieurs facteurs d’authentification. Les dispositifs WebAuthn, tels que les clés de sécurité et les dispositifs biométriques, garantissent que seules les entités légitimes peuvent accéder aux systèmes protégés. 

          Expérience Utilisateur 

          L’expérience utilisateur est considérablement améliorée avec WebAuthn. Une fois le dispositif d’authentification configuré, le processus de connexion est simplifié et rapide. Les utilisateurs n’ont plus besoin de se souvenir de mots de passe complexes ou de saisir des codes OTP (One-Time Password). Au lieu de cela, ils peuvent utiliser un simple dispositif, comme une clé de sécurité ou un smartphone, pour se connecter en toute sécurité. Cette simplicité réduit les frictions lors de la connexion et améliore la satisfaction des utilisateurs. 

          Interopérabilité 

          WebAuthn est conçu pour être compatible avec tous les navigateurs modernes et une large gamme de dispositifs. Cette interopérabilité permet aux utilisateurs de se connecter de manière sécurisée sur différentes plateformes sans restriction. Que ce soit sur des navigateurs comme Chrome, Firefox ou Edge, ou sur des dispositifs variés comme les smartphones, les solutions FIDO2 (telles que les clés de sécurité Yubikey) et les lecteurs biométriques, WebAuthn assure une flexibilité et une accessibilité maximales. 

          Coût 

          L’un des avantages financiers possible de WebAuthn est que les dispositifs à enrôler n’induisent aucun surcoût significatif. Contrairement à d’autres solutions d’authentification qui peuvent nécessiter des investissements importants en infrastructures ou en logiciels supplémentaires. Les dispositifs WebAuthn sont abordables et déjà largement présents entre les mains de l’utilisateur. Les entreprises renforcent ainsi leur sécurité sans alourdir leurs budgets, tout en bénéficiant d’une authentification de pointe. 

          Comparaison avec d’autres solutions

          Les avantages de WebAuthn avec d’autres méthodes d’authentification courantes : 

            3. Découvrez PROVE IT, notre solution de PAM-BASTION

               

              WebAuthn dans PROVE IT

              Démonstration sur PROVE IT

              Vue utilisateur : enrôlement 

              L’utilisateur reçoit un mail de l’administrateur PROVE IT lui demandant de s’enrôler : 

              Ensuite, l’utilisateur va sur le lien, saisit son nom d’utilisateur ainsi que l’OTP (One Time Password) contenu dans le mail. Puis son navigateur va lui afficher une pop-up afin de “Créer une clé d’accès” : 

              L’utilisateur choisit l’équipement à enrôler : cela peut-être un poste Windows, un terminal mobile ou une clé de sécurité FIDO2. Hop, c’est terminé ! 

              Vue utilisateur : connexion au bastion 

              Une fois enrôlé, l’utilisateur se connectera de la même manière qu’auparavant, la seule différence étant que son navigateur lui demandera d’utiliser une clé d’accès (en ayant sélectionné celle créée juste avant) : 

              L’utilisateur pourra ensuite accéder à la liste des différentes ressources sur lesquelles il est éligible de se connecter. 

              Vue administrateur : vie de solution 

              L’administrateur a accès aux éléments suivants : 

              • Evénements d’audit 
              • Liste des équipements utilisateur enrôlés 

              • Liste des utilisateurs en attente de validation de l’enrôlement 

              De plus, l’administrateur pourra facilement supprimer des équipements des utilisateurs. 

            Conclusion

            WebAuthn permet de réaliser une authentification sécurisée sans mot de passe, améliorant ainsi la manière dont les utilisateurs accèdent aux systèmes protégés. Cependant, l’administrateur de notre solution Pam-Bastion, PROVE IT, peut toujours configurer un royaume exigeant à la fois un nom d’utilisateur/mot de passe et WebAuthn, combinant les avantages de l’authentification traditionnelle avec la sécurité moderne de WebAuthn.

            WebAuthn offre une sécurité supérieure et une meilleure expérience utilisateur en éliminant les dépendances aux mots de passe. Adopter WebAuthn est une étape importante vers une sécurité accrue et une satisfaction utilisateur améliorée. Nous sommes convaincus que cette intégration renforcera la protection de votre infrastructure tout en répondant aux normes et réglementations en vigueur.

             

            Annexe

            Liens Utiles et Références