La dernière version de Safari Technology Preview – une sorte de bêta de Safari – contient une nouveauté intéressante : la gestion de WebAuthn à travers une clé USB de sécurité.
La technologie doit permettre de remplacer le mot de passe (en simplifiant) par une authentification forte. Ça peut être une clé USB de chez Yubikey, mais aussi en théorie les dispositifs de sécurité de votre appareil (Touch ID ou FaceID chez Apple). Actuellement, il faut une clé USB compatible CTAP2, soit en pratique une clé Yubikey 5 (la Nano existe en USB-C) ou une Yubikey Security Key (~20 €) mais pas une Yubikey 4 (c’est une limite de Safari actuellement).
La clé
Bien évidemment, il faut installer Safari Technology Preview, et ensuite activer le support. Il faut aller dans le menu Develop, puis dans Experimental Features et cocher Web Authentication. Et ensuite ?
Et ensuite, pas grand chose. En fait, les rares sites qui utilisent l’authentification à deux facteurs via une clé de sécurité passent par des extensions non standardisées et pas par WebAuthn. Le seul site connu qui le propose, c’est Dropbox et ça ne fonctionne pas avec Safari. En fait, il détecte le navigateur via l’User Agent et empêche son activation. Et changer l’User Agent donne des erreurs sur le site.
Super message de Dropbox
En fait, vous pouvez juste tester avec des sites comme webauthn.org et webauthn.io.
Je suppose que d’ici à ce qu’Apple l’intègre officiellement, on pourra utiliser les dispositifs de sécurité des appareils. Et peut-être que des sites utiliseront la technologie…
j’espere que ça serait mieux géré les clés de Gemalto :D