Article de reference

Alliance FIDO

Ancien logo de l'Alliance FIDO L’ Alliance FIDO ( Fast IDentity Online ) est une association industrielle ouverte lancée en février 2013 dont la mission déclarée est de développ...

Ancien logo de l'Alliance FIDO

L’ Alliance FIDO ( Fast IDentity Online ) est une association industrielle ouverte lancée en février 2013 dont la mission déclarée est de développer et de promouvoir des normes d’authentification qui « contribuent à réduire la dépendance excessive du monde aux mots de passe ». FIDO remédie au manque d’interopérabilité entre les appareils qui utilisent une authentification forte et réduit les problèmes rencontrés par les utilisateurs lors de la création et de la mémorisation de plusieurs noms d’utilisateur et mots de passe.

FIDO prend en charge une gamme complète de technologies d'authentification, notamment la biométrie ( lecteurs d'empreintes digitales et d'iris) , la reconnaissance vocale et faciale , ainsi que les solutions et normes de communication existantes, telles que les modules TPM ( Trusted Platform Module ), les jetons de sécurité USB , les éléments sécurisés embarqués (eSE), les cartes à puce et la communication en champ proche (NFC). Le jeton de sécurité USB peut être utilisé pour s'authentifier à l'aide d'un mot de passe simple (par exemple, un code PIN à quatre chiffres ) ou en appuyant sur un bouton. Les spécifications mettent l'accent sur un modèle centré sur le dispositif. L'authentification sur un canal non sécurisé utilise la cryptographie à clé publique . Le dispositif de l'utilisateur enregistre ce dernier auprès d'un serveur en enregistrant une clé publique. Pour authentifier l'utilisateur, le dispositif signe un défi du serveur à l'aide de sa clé privée. Le déverrouillage des clés du dispositif s'effectue par une action de l'utilisateur, telle qu'une reconnaissance biométrique ou l'appui sur un bouton.

FIDO offre deux types d'expérience utilisateur selon le protocole utilisé. Les deux protocoles définissent une interface commune côté client, quelle que soit la méthode d'authentification locale utilisée par l'utilisateur.

Deuxième facteur universel (U2F)
  • Norme proposée U2F 1.0 ( 9 octobre 2014)
  • Norme proposée U2F 1.2 ( 11 juillet 2017)
  • FIDO 2.0 (FIDO2, proposé au W3C le 12 novembre 2015)
    • Norme proposée FIDO 2.0 ( 4 septembre 2015)
L'évolution de la famille de normes de protocole FIDO2-WebAuthn

La norme U2F 1.0 proposée ( 9 octobre 2014) a servi de point de départ à la spécification connue sous le nom de norme FIDO 2.0 proposée ( 4 septembre 2015). Cette dernière a été officiellement soumise au World Wide Web Consortium (W3C) le 12 novembre 2015. Par la suite, le premier projet de norme du W3C pour l'authentification Web ( WebAuthn ) a été publié le 31 mai 2016. La norme WebAuthn a été révisée à plusieurs reprises depuis lors, et est devenue une recommandation du W3C le 4 mars 2019.

Entre-temps, la norme proposée U2F 1.2 ( 11 juillet 2017) est devenue le point de départ de la norme proposée Client to Authenticator Protocol 2.0, qui a été publiée le 27 septembre 2017. FIDO CTAP 2.0 complète W3C WebAuthn, les deux étant inclus dans le projet FIDO2 .

FIDO2

Le projet FIDO2 est une initiative conjointe de la FIDO Alliance et du World Wide Web Consortium (W3C) visant à créer une authentification forte pour le Web. FIDO2 repose sur la norme d'authentification Web ( WebAuthn ) du W3C et le protocole FIDO Client to Authenticator Protocol 2 (CTAP2). FIDO2 s'appuie sur les travaux antérieurs de la FIDO Alliance, notamment sur la norme d'authentification universelle à deux facteurs (U2F).

Ensemble, WebAuthn et CTAP définissent un protocole d'authentification standard dont les points de terminaison comprennent un authentificateur cryptographique contrôlé par l'utilisateur (tel qu'un smartphone ou une clé de sécurité matérielle ) et une partie de confiance WebAuthn (également appelée serveur FIDO2). Un navigateur web , associé à un client WebAuthn, sert d'intermédiaire entre l'authentificateur et la partie de confiance. Un appareil peut prendre en charge plusieurs clients WebAuthn. Par exemple, un ordinateur portable peut prendre en charge plusieurs clients, un pour chaque navigateur compatible exécuté sur l'ordinateur. Un navigateur compatible implémente l'API JavaScript WebAuthn.

Comme son nom l'indique, le protocole CTAP (Client to Authenticator Protocol ) permet à un authentificateur cryptographique conforme d'interagir avec un client WebAuthn. La spécification CTAP fait référence à deux versions de protocole : CTAP1/U2F et CTAP2. Un authentificateur implémentant l'un de ces protocoles est généralement appelé authentificateur U2F ou authentificateur FIDO2, respectivement. Un authentificateur FIDO2 implémentant également le protocole CTAP1/U2F est rétrocompatible avec U2F.

L'invention consistant à utiliser un smartphone comme authentificateur cryptographique sur un réseau informatique est revendiquée dans le brevet américain 7 366 913 déposé en 2002.

Bluetooth et la communication en champ proche (NFC) en tant que protocoles de transport pour U2F
  • (04/09/2015) La norme proposée FIDO 2.0 a été publiée.
    • Format d'attestation de clé FIDO 2.0
    • Format de signature FIDO 2.0
    • API Web FIDO 2.0 pour accéder aux identifiants FIDO 2.0
  • (2015-11-12) L'Alliance FIDO a soumis la norme proposée FIDO 2.0 au World Wide Web Consortium (W3C)
  • (17/02/2016) Le W3C a créé le groupe de travail sur l'authentification Web.
  • (02/02/2017) La norme UAF 1.1 proposée a été publiée.
  • (11/07/2017) La norme U2F 1.2 proposée a été publiée.
  • (27/09/2017) La norme proposée pour le protocole client-authentificateur 2.0 a été publiée.
  • (28/11/2017) Le projet de révision UAF 1.2 a été publié.
  • (27/02/2018) Le projet de mise en œuvre du protocole client-authentificateur 2.0 a été publié.
  • (2019–03) La recommandation Web Authentication (WebAuthn) du W3C – un élément central de l’ensemble de spécifications FIDO2 de l’Alliance FIDO – est devenue une norme Web officielle.
  • (2019-09-04) FIDO Alliance a lancé Authenticate, une conférence annuelle consacrée au déploiement et aux pratiques d'authentification des utilisateurs.
  • (2019-12-18) Le programme de certification FIDO a franchi une étape importante avec 688 produits certifiés.
  • (2021-03-29) Une ressource éducative collaborative combinant l'authentification FIDO avec les normes de paiement sur le Web a été lancée par la FIDO Alliance, EMVCo et le W3C.
  • (2021-04-20) FIDO Alliance a publié le protocole FIDO Device Onboard (FDO) pour sécuriser le provisionnement automatisé de l'Internet des objets (IoT).
  • (2023-06-16) Les spécifications FIDO UAF 1.2 et CTAP 2.1 ont été officiellement adoptées comme normes internationales par l'Union internationale des télécommunications (UIT-T)
  • (2023-11-02) Les protocoles FIDO ont été inclus par l'ENISA et l'ETSI dans leurs lignes directrices architecturales pour les portefeuilles d'identité numérique européens eIDAS2.
  • (2025-04-29) FIDO Alliance a créé un groupe de travail sur les paiements (PWG) pour définir et piloter les solutions FIDO pour les cas d’utilisation des paiements
  • (2026-05-07) Le déploiement mondial de clés d'accès actives aurait atteint 5 milliards lors d'une annonce faite à l'occasion de la Journée mondiale des clés d'accès 2026.
  • membres de la FIDO

    membres du conseil d'administration

    1Password
  • Amazone
  • American Express
  • Pomme
  • Axiad
  • Banque d'Amérique
  • Au-delà de l'identité
  • Cisco
  • CVS Santé
  • Daon
  • Dashlane
  • Dell
  • Égide
  • Feitien
  • Google
  • HYPR
  • IDÉMIE
  • infineon
  • Intel
  • Intuit
  • Jumio
  • LastPass
  • Lenovo
  • LY Corporation
  • MasterCard
  • Mercari
  • Métaplateformes
  • Microsoft
  • Nok Nok
  • NTT Docomo
  • OneSpan
  • PayPal
  • Banque PNC
  • Prouver son identité
  • Qualcomm
  • Raon
  • RSA Security
  • Samsung
  • Groupe Thales
  • TikTok
  • Trusona
  • Banque américaine
  • Visa
  • Wells Fargo
  • Yubico
  • membres de niveau sponsor

    Akamai Technologies
  • AU10TIX
  • Avast
  • BankAxept
  • Bitwarden
  • Binance
  • Groupement des Cartes Bancaires CB
  • JPMorgan Chase
  • Coinbase
  • CompoSecure
  • CyberArk
  • DocuSign
  • eBay
  • Entersekt
  • EXCELSECU
  • Film
  • Fujitsu
  • Technologies Futurae
  • Giesecke+Devrient
  • Op
  • Graphique de hachage Hedera
  • Société mondiale HID
  • Hitachi
  • HSBC
  • Technologies Huawei
  • IBM
  • IDnow
  • Institut de recherche en technologie industrielle
  • Recherche sur les systèmes internationaux
  • iProov
  • JCB Co.
  • KDDI
  • Gardien (gestionnaire de mots de passe)
  • Banque M&T
  • Mozilla
  • NEC Corporation
  • Institut de recherche Nomura
  • Okta, Inc.
  • Onfido
  • Identité Ping
  • Rakuten
  • Chapeau rouge
  • Academia Sinica
  • RoboForm
  • Salesforce
  • Groupe SBI
  • Sentry Enterprises
  • SK Telecom
  • Sécurité
  • SoftBank
  • SOFTGIKEN
  • Sony Corporation
  • SSenStone
  • Groupe Swiss Marketplace
  • Swissbit
  • Target Brands, Inc.
  • MITRE Corporation
  • Twilio
  • Le groupe Vanguard
  • Veridium
  • Groupe Vin
  • WiSECURE
  • Ligne mondiale SA
  • Yahoo
  • membres du gouvernement

    Gouvernement australien
  • Ministère de l'Information et des Communications (Vietnam)
  • Cabinet du Royaume-Uni
  • Agence de développement des transactions électroniques (Thaïlande)
  • Bureau fédéral de la sécurité de l'information
  • Ministère des Affaires numériques (Taïwan)
  • Ministère de l'Intérieur (Taïwan)
  • Institut national des normes et de la technologie
  • CENTRE DE TECHNOLOGIE DES TÉLÉCOMMUNICATIONS (Taïwan)
  • Association des technologies de télécommunication (Corée du Sud)
  • membres de niveau associé

    ASRock Industrial Computer Corp.
  • atsec (Pékin) Information Technology Co., Ltd.
  • AuthenticID
  • AuthentOn
  • AuthenTrend
  • authID.ai
  • Authme Co., Ltd.
  • Authsignal Limited
  • AuthX Security LLC
  • Aware, Inc.
  • AXELL CORPORATION
  • Azimuth Labs Pte Ltd.
  • BIO-clé
  • Biometric Associates, LP
  • BIT4ID SRL
  • BixeLab Pty Ltd.
  • Buypass AS
  • Capy Inc.
  • CardLab Innovation ApS
  • Cathay Financial Holdings
  • Changing Information Technology Inc.
  • Chelpis Quantum Tech Co., LTD.
  • Dai Nippon Printing Co., Ltd
  • Sécurité Dapple
  • Zoo de données
  • Datasec Solutions Pty Ltd
  • DDS, Inc.
  • DeCloak Intelligences Co.
  • Sécurité du Deepnet
  • Descope Inc.
  • e-Smart Systems Limited
  • Easy Dynamics
  • eDoktor Co, Ltd.
  • ELAN Microelectronics Corporation
  • emdha TSP
  • eMudhra Technologies Limited
  • Enpass Technologies Inc.
  • Technologies d'assurance
  • Entrust Datacard Corporation
  • eTunnel Inc.
  • EXGEN NETWORKS Co., Ltd.
  • Fazpass
  • Cartes d'empreintes digitales
  • Foongtone Technology Co., Ltd.
  • Frontegg
  • Gallagher Amérique du Nord Inc.
  • Société Gentex
  • GoTrustID Inc.
  • HANKO
  • HAVENTEC GROUP SERVICES PTY LTD
  • Zoo de Hideez Pologne
  • Hypersecu Information Systems, Inc.
  • Hyweb Global Technology Co. Ltd
  • i-Sprint Innovations Pte Ltd
  • Recherche et développement en intelligence artificielle
  • ID.moi
  • IDEATEC
  • Identiv, Inc.
  • Identity, Inc.
  • IDEX Biométrie
  • IDmelon Technologies Inc.
  • Améliorer
  • Ingenium Biometrics Ltd
  • Intelligent Information Security Technology Inc.
  • Intercéder
  • IP Cube Co., Ltd.
  • Kaizen Secure Voiz
  • Kelvin Zero Inc.
  • Technologies sans clé Ltée
  • Clés
  • CléXentic
  • KICA
  • KONA I CO., LTD
  • Kridentia Technology Sdn Bhd
  • KSIGN
  • Solutions de sécurité LC&J
  • Grand livre
  • LIQUID, Inc.
  • Locii Innovation Pty Ltd, exerçant ses activités sous le nom de Truth
  • Identifiant de connexion
  • Rayon de connexion
  • LOGITECH EUROPE SA
  • LuxTrust SA
  • Lydsec Digital Technology Co., Ltd.
  • Métalenz
  • Société par actions MK Group
  • Technologies mobiles limitées
  • MTRIX GmbH
  • Centre national des cartes de crédit de la République de Chine
  • NEOWAVE
  • NEVIS Security AG
  • Nihon Jyoho System Co., LTD
  • NOX Co., Ltd.
  • Nulab Inc.
  • Nymi Inc.
  • Laboratoires OCR mondiaux
  • Octacto Co., Ltd.
  • OneLog AG
  • Société de technologie des solutions open source
  • Société de portefeuille Panasonic
  • Verrou de sécurité
  • Databilité de Penril
  • PONE Biométrie
  • Precision Biometric India Pvt. Ltd.
  • PT Privy Identitas Digital
  • QaiWare
  • Quado, Inc.
  • Réseaux quantiques
  • RF Ideas Inc.
  • Connaissances solides comme le roc Ltd.
  • Scramble ID, Inc.
  • Secfense Inc.
  • SECOOSS, Inc.
  • Double pieuvre secrète
  • SecuGen Corporation
  • Authentification sécurisée
  • SecureKi
  • Securemetric Technology Sdn Bhd
  • Secuve Co., Ltd.
  • Laboratoire national d'ingénierie de Shenzhen (alias NELD TV)
  • Technologie SmartDisplayer
  • SoloKeys
  • Starfish GmbH & Co. KG
  • Stellar Craft, Inc.
  • Strivacity
  • StrongKey
  • Stytch, Inc.
  • SurePassID
  • SWEMPIRE Co., Ltd.
  • Synaptiques
  • TEMET AG
  • TendyRON
  • JETON 2
  • Tokeniser Inc.
  • TOPPAN IDGATE
  • Torus Labs Private Limited
  • Tradelink Electronic Commerce Limited
  • TraitWare Inc.
  • Transmettre la sécurité
  • Trillbit Inc.
  • Trinamix GmbH
  • Cachet de confiance
  • TrustAsia Technologies, Inc.
  • TRUSTDOCK Inc.
  • TruU, Inc.
  • TWCA
  • UAB 360 IT (NordPass)
  • UberEther, Inc.
  • Uniken Inc.
  • UNIONCOMMUNITY Co., Ltd.
  • VALMIDO
  • VEAS JSC
  • VeroGuard Systems Pty Ltd
  • Versasec AB
  • VisionLabs BV
  • VP, Inc.
  • VU LLC
  • WebComm Technology Co., Ltd.
  • WinMagic Corp.
  • Wuhan Tianyu Information Industry Co. Ltd.