EduBourseActualitésL’Alliance FIDO étend son programme de certification pour renforcer la confiance dans...

L’Alliance FIDO étend son programme de certification pour renforcer la confiance dans les systèmes d’authentification basés sur des standards

Les premiers dispositifs ont obtenu la nouvelle certification FIDO Authenticator Security

Mountain View, Californie, le 21 mars 2018 – L’Alliance FIDO, un consortium de plus de 250 membres dont la mission est d’élaborer des spécifications et des programmes de certification pour une authentification plus simple et plus forte, annonce aujourd’hui l’élargissement de son programme de certification en y incluant des évaluations de sécurité multi-niveaux pour les systèmes d’authentification, tels que les clés de sécurité physique et les outils biométriques pour terminaux mobiles et PC. L’Alliance a également annoncé les premiers produits certifiés dans le cadre de son nouveau programme Authenticator Certification Levels.

Ces nouvelles certifications d’authentification permettront d’augmenter la confiance que les particuliers, les entreprises et les prestataires de services accordent au niveau de protection dont bénéficient les identifiants stockés dans les systèmes d’authentification FIDO, conformes aux standards en vigueur en cas d’attaque ciblée contre leurs appareils. Le nouveau programme incorpore la certification fonctionnelle traditionnelle de l’Alliance FIDO, qui mesure la conformité et assure l’interopérabilité entre les produits et services compatibles avec les spécifications de l’Alliance FIDO.

« Notre nouveau programme d’évaluation multi-niveaux répond à une exigence de plus en plus forte d’un marché qui souhaite disposer d’une vue plus transparente de la sécurité des systèmes d’authentification certifiés FIDO, a déclaré Brett McDowell, directeur exécutif de l’Alliance FIDO. Ce nouveau programme de certification, utilisé en association avec le service de gestion des métadonnées de l’Alliance FIDO, permettra aux entreprises et aux services en ligne de prendre des décisions plus pertinentes en matière de gestion des risques lors de l’enregistrement d’informations d’identification à partir d’appareils compatibles avec FIDO. À la clé, des “scores“ plus précis et plus fiables en back-end, ainsi qu’une meilleure expérience en première ligne pour les utilisateurs, grâce à des méthodes d’authentification renforcée moins intrusives. »

Exigences de sécurité et niveaux disponibles

L’Alliance FIDO propose actuellement des programmes de test et de certification couvrant deux niveaux de sécurité pour l’ensemble des spécifications publiées : FIDO Certified Level 1 (L1) Authenticator et FIDO Certified Level 2 (L2) Authenticator. Des niveaux supplémentaires englobant une gamme complète d’exigences de sécurité seront annoncés ultérieurement.

Tous les systèmes d’authentification certifiés L1 doivent franchir avec succès des tests d’interopérabilité et de conformité aux spécifications de l’Alliance FIDO. Ils sont également soumis à un contrôle de conception par rapport aux exigences de certification FIDO afin de vérifier que le mécanisme de sécurité utilisé par le système d’authentification est optimisé pour le système d’exploitation sur lequel il est déployé.

Selon les exigences de certification de sécurité FIDO L2, les systèmes d’authentification doivent mettre en œuvre un environnement d’exploitation restreint, tel qu’un environnement d’exécution de confiance (TEE) ou un élément sécurisé (SE). Le but est de protéger les données biométriques et les identifiants d’authentification contre les compromissions du système d’exploitation induits par le téléchargement d’applications, de contenus malveillants sur internet et autres menaces similaires. Les systèmes d’authentification certifiés FIDO L2 doivent également être soumis à un contrôle de conception complet, effectué par un laboratoire de certification de sécurité tiers agréé par l’Alliance FIDO. Comme dans le cas des certifications L1, le système d’authentification doit réussir les tests d’interopérabilité.

Avantages pour les consommateurs, les fournisseurs de services internet et de technologie

Les spécifications publiées par l’Alliance FIDO en matière d’authentification forte incluent la cryptographie à clé publique et des expériences utilisateur simples en vue d’aider les individus à réduire leur dépendance à l’égard des mots de passe. L’utilisation de la cryptographie à clé publique — une technique où la clé privée est stockée dans un appareil qu’elle ne quitte jamais — garantit que les informations d’identification FIDO ne sont pas sensibles aux attaques de grande envergure comme le phishing, la forme la plus courante de piratage contre les identifications par mot de passe. Grâce à cette approche, toutes les implémentations certifiées FIDO sont, de façon intrinsèque, davantage sécurisées que les systèmes basés sur des mots de passe.

Les niveaux de certification annoncés par l’Alliance FIDO vont encore plus loin en matière de sécurité forte en garantissant que les systèmes d’authentification conservent en toute sécurité les « secrets » et, dans certains cas, les informations biométriques, de la clé cryptographique, et confirment que les principes de confidentialité sont respectés.

Les fournisseurs de services internet, qui acceptent les identifiants de l’Alliance FIDO pour assurer une authentification forte, bénéficient d’un programme étendu qui leur permet d’évaluer, de définir des exigences et d’augmenter le niveau de confiance qu’ils accordent aux systèmes d’authentification de l’Alliance FIDO utilisés par les particuliers. Les fournisseurs de technologies qui incluent des systèmes d’authentification FIDO dans leurs produits indiquent en toute confiance que leurs implémentations répondent aux exigences des fournisseurs de services et maximisent le positionnement de leurs produits sur le marché. Aujourd’hui, Aetna, Facebook, Google, eBay et Bank of America, parmi d’autres, bénéficient des avantages des systèmes d’authentification FIDO.

Certification de nouvelles entreprises, agrément de laboratoires et ressources supplémentaires.

Les entreprises qui ont obtenu la certification L1 ou L2 sont les suivantes :

FIDO Certified Level 1 (L1) Authenticator : AuthenTrend Technology Inc.; CANVASBIO; i-Sprint Innovations Pte Ltd; PixelPin LTD; SHARP CORPORATION; Shenzhen National Engineering Laboratory of Digital Television Co., Ltd.
FIDO Certified Level 2 (L2) Authenticator : Feitian Technologies Co., Ltd.
Les laboratoires agréés pour effectuer les certifications L2 sont les suivants : Applus+ Laboratories ; Beijing Unionpay Card Technology Co., Ltd ; Brightsight B.V. ; DPLS Lab ; Telecommunications Technology Association (TTA) ; et UL Verification Services Inc.

L’Alliance FIDO accepte actuellement des demandes d’accréditation de la part d’autres laboratoires.

Pour afficher le processus, visitez le site fidoalliance.org/certification/accredited-security-laboratories/.

Pour en savoir plus sur les niveaux de certifications FIDO Authenticator, ainsi que leurs coûts, et pour soumettre un produit en vue de la certification, visitez le site : fidoalliance.org/certification/authenticator-certification-levels/.

Pour plus d’informations sur l’Alliance FIDO, les spécifications FIDO et les produits certifiés FIDO, rendez-vous sur le site : www.fidoalliance.org.

À propos de L’Alliance FIDO

L’Alliance FIDO (Fast IDentity Online), www.fidoalliance.org, a été créée en juillet 2012, dans le but d’apporter une solution au manque d’interopérabilité au sein des technologies d’authentification forte, et de remédier aux problèmes rencontrés par les utilisateurs pour créer et se souvenir de leurs identifiants et mots de passe. L’Alliance FIDO a pour objectif de révolutionner le monde de l’authentification grâce à des normes plus simples et plus sécurisées, et à un ensemble de mécanismes ouverts, flexibles et interopérables qui réduiront la dépendance des utilisateurs envers leurs mots de passe. L’authentification FIDO est plus sécurisée, privée et plus facile à utiliser dès qu’il s’agit de s’authentifier sur des services en ligne.

###

Pierre Perrin-Monlouis
Pierre Perrin-Monlouis
Fondateur de Rente et Patrimoine (cabinet de gestion de patrimoine), Pierre Perrin-Monlouis est un analyste et trader pour compte propre. Il vous fait profiter de son expérience en trading grâce à ses analyses financières et décrypte pour vous les actualités des marchés. Son approche globale des marchés combine à la fois l'analyse technique et l'analyse fondamentale sur l'ensemble des marchés : crypto, forex, actions et matières premières.
ARTICLES SIMILAIRES
1200
1200