De nombreux utilisateurs considèrent les mots de passe comme extrêmement lourds. Un protocole d'authentification pour les sites Web, appelé WebAuthn, pourrait les rendre obsolètes. Les utilisateurs peuvent l'utiliser pour se connecter à un service tel qu'un réseau social ou une plateforme d'achat en ligne avec leur smartphone ou leur ordinateur. Le processus est simple et rapide lors de l'utilisation de données biométriques telles que les empreintes digitales ou la reconnaissance faciale, qui sont souvent déjà stockées pour déverrouiller l'appareil. "Il n'est pas surprenant que cela puisse donner l'impression que les données biométriques sont transmises au site Web auquel vous souhaitez vous connecter, comme un mot de passe. Mais c'est une idée fausse", déclare Leona Lassak de la Ruhr-Universität Bochum (RUB ).

Une équipe du RUB, du Max Planck Institute for Security and Privacy (MPI-SP) de Bochum et de l'Université de Chicago s'est attaquée à ces idées fausses et à d'autres. Dans plusieurs études en ligne, ils ont laissé 414 utilisateurs essayer la nouvelle connexion WebAuthn et leur ont demandé leurs premières impressions et préoccupations concernant sa sécurité, sa convivialité et sa confidentialité.

Leona Lassak de l'Institut Horst Görtz pour la sécurité informatique de la RUB et le Dr Maximilian Golla du MPI-SP, ainsi qu'Annika Hildebrandt et le professeur Blase Ur de l'Université de Chicago, publieront les résultats lors de la conférence USENIX Security le 11 août 2021 L'article est disponible en ligne depuis le 21 juin 2021.

Comment fonctionne WebAuthn

WebAuthn fait partie de la nouvelle norme FIDO2, qui vise à rendre les mots de passe obsolètes. Actuellement, lorsque les utilisateurs souhaitent se connecter à un service, ils saisissent simplement un nom d'utilisateur et un mot de passe. À l'avenir, les utilisateurs pourraient plutôt s'authentifier simplement en utilisant leur appareil. Pour s'assurer qu'une personne aléatoire qui trouve un smartphone perdu ne pourra pas se connecter à toutes sortes de services, les utilisateurs doivent confirmer le processus de connexion avec le code PIN ou la biométrie de leur smartphone. Certains services comme eBay américain ou Microsoft proposent déjà le login WebAuthn.

Leona Lassak explique le problème :"Pour l'utilisateur, il semble qu'il se connecte au service en ligne avec son empreinte digitale. En fait, son empreinte digitale ne déverrouille qu'une clé dite cryptographique, qui est stockée sur l'appareil de l'utilisateur et est ensuite utilisée pour la connexion réelle."

Confusion chez les nouveaux utilisateurs

Près de 70 % des personnes interrogées n'étaient pas sûres ou pensaient à tort que leurs données biométriques seraient partagées avec le site Web auquel elles tentaient de se connecter. "Il est important de dissiper ces malentendus, car ils compromettent la volonté des gens d'utiliser la nouvelle connexion sécurisée, " déclare Annika Hildebrandt, auteure de l'Université de Chicago.

Un autre problème survient si le capteur d'empreintes digitales ne fonctionne pas. En effet, il est possible de saisir alternativement le code PIN du smartphone. Cependant, comme l'interface utilisateur ne rend pas cette option très claire, 60 % des utilisateurs pensaient qu'ils perdraient l'accès à leur compte dans ce cas. Les chercheurs ont également demandé si les participants penseraient que leurs comptes étaient en sécurité si leur smartphone était volé. 93 % des personnes interrogées se sentaient suffisamment protégées grâce à leurs données biométriques, mais ignoraient qu'un attaquant pouvait également accéder à leurs comptes en devinant le code PIN de leur smartphone.

Lutter contre les idées fausses

Les chercheurs ont laissé sept groupes de discussion développer des textes et des graphiques qui visent à prévenir ces idées fausses et à communiquer la fonctionnalité complexe de WebAuthn. Sur la base de ces textes, les chercheurs ont mis en place six notifications et les ont comparées dans une étude en ligne.

"Le plus efficace pour lutter contre les idées fausses est de communiquer explicitement que les données d'empreintes digitales et de visage ne sont jamais transmises au site Web", explique Annika Hildebrandt. Il était moins efficace de souligner les inconvénients des mots de passe ou de mentionner les entreprises dignes de confiance qui ont aidé à développer la norme WebAuthn.

Accroître l'adoption

Malgré tous les malentendus et préoccupations, les participants ont évalué la connexion biométrique plus haut que les mots de passe traditionnels, car ils ont été particulièrement impressionnés par sa rapidité et sa facilité d'utilisation. À l'avenir, les chercheurs ont l'intention d'augmenter encore l'acceptation de WebAuthn pour rendre ses avantages accessibles à tous les utilisateurs.