L' Alliance FIDO décrit l'authentificateur FIDO comme un « ensemble de matériel et de logiciel qui implémente la partie authentificateur des protocoles FIDO UAF, FIDO U2F ou FIDO2 ». Le programme de certification des authentificateurs FIDO garantit la confiance et réduit le risque de vulnérabilités potentielles en appliquant des contre-mesures, garantissant que ces mesures sont correctes et répondent aux exigences de sécurité des authentificateurs FIDO. Plus le niveau de certification est élevé, plus l' assurance de sécurité ou la confiance est grande.
Voici une liste des 10 principales choses que vous devez savoir sur le programme de certification FIDO Authenticator :
1. Il existe trois niveaux de certification de sécurité « primaires » pour les authentificateurs
Il existe trois principaux niveaux de certification de sécurité pour les authentificateurs :
- L1 - Mieux que les mots de passe. Implémentation uniquement basée sur logiciel. Certification possible sur n'importe quel appareil avec n'importe quel système d'exploitation ou matériel.
- L2 - Certification de l'authentificateur complet possible. Nécessite un environnement d'exploitation restreint (ROE) supporté par certaines contre-mesures matérielles permettant l'isolation de l'application, pour pouvoir certifier l'authentificateur complet.
- L3 - Ajoute des défenses physiques à L2 afin que les appareils perdus ou volés soient difficiles à démonter et à casser dans un garage ou un laboratoire.
2. Il y a un total de six niveaux
Pour chacun des 3 niveaux principaux ci-dessus, il existe un niveau « + » supplémentaire. Le niveau L1 est le niveau de base offrant la certification la plus simple. Le niveau L1+ est basé sur la cryptographie en boîte blanche. Le niveau L2 a été créé comme une évaluation rapide de la sécurité basée sur les capacités d'un ROE. Le niveau L2+ n'est pas encore défini, mais devrait accroître la confiance dans la certification de type L2 en ajoutant des procédures de test supplémentaires, tandis que le niveau L3 nécessite un ROE certifié. Le niveau L3+ nécessite des défenses au niveau de la puce contre les attaques physiques prises en charge par les technologies de cartes à puce.
3. La certification FIDO comme différenciateur marketing et marque de confiance
Le programme de certification à six niveaux de FIDO couvre le matériel, les logiciels, les systèmes d'exploitation et les mécanismes de sécurité du niveau le plus bas au plus élevé. Cependant, il reste neutre par rapport au fournisseur et à la technologie, ce qui permet au fournisseur de recevoir la reconnaissance ou les félicitations pour avoir satisfait aux exigences de sécurité des clients. Les utilisateurs, les fournisseurs de services ou les parties utilisatrices peuvent faire confiance aux authentificateurs en vérifiant leur niveau de certification.
4. La certification fonctionnelle FIDO est une condition préalable à la certification d'authentificateur FIDO
Tous les fournisseurs d'authentificateurs souhaitant obtenir la certification d'authentificateur doivent remplir les conditions de certification fonctionnelle FIDO. Avant de créer un compte pour la certification FIDO et de postuler à la certification d'authentificateur FIDO via le tableau de bord de l'implémenteur, les fournisseurs doivent remplir les conditions, qui incluent les tests d'interopérabilité et l'auto-évaluation de la conformité.
5. La certification FIDO peut s'appuyer sur des programmes d'accompagnement
La certification FIDO aux niveaux supérieurs s'appuie sur des schémas de certification reconnus tels que les critères communs (CC). Cela permet à un fournisseur qui implémente son application Authenticator sur une plate-forme certifiée CC d'obtenir la certification FIDO en prouvant le niveau de sécurité de la composition via une table de mappage et des procédures de test delta simplifiées.
6. L1 n'est pas une auto-déclaration
Au niveau L1, aucun laboratoire n'est impliqué, mais pour éviter un processus d'auto-déclaration, FIDO implique un examen rapide du questionnaire du fournisseur par un expert en sécurité. Le Secrétariat de sécurité examine ensuite le questionnaire du fournisseur complété, détecte les problèmes, échange des rapports d'observation pour résoudre les exigences non concluantes avant de passer la certification.
7. Un laboratoire de sécurité accrédité FIDO effectue l'évaluation de sécurité pour les niveaux L2 et supérieurs
Pour les niveaux L2 et supérieurs, le fournisseur choisit un laboratoire de sécurité tiers accrédité FIDO pour effectuer les procédures de test de sécurité. L'évaluateur agréé examine le questionnaire du fournisseur pour les niveaux L2 et supérieurs et effectue un examen complet, qui peut inclure un examen du code source et des tests de pénétration. Une fois approuvé, l'évaluateur soumet un rapport d'évaluation FIDO au Secrétariat de sécurité.
8. La certification Delta est acceptée
Afin de maintenir la validité d'un certificat en cas de mise à jour de certaines fonctionnalités par un fournisseur, de modification des exigences ou de divulgation d'une vulnérabilité, un rapport d'analyse d'impact FIDO permet d'évaluer les changements et de déterminer si une certification Delta est requise. Dans ce cas, le fournisseur devra mettre en évidence les changements et mettre à jour le questionnaire du fournisseur pour refléter les exigences de sécurité impactées, qui seront examinées et testées en conséquence avant de modifier le certificat.
9. Plus de 130 authentificateurs sont déjà certifiés en matière de sécurité
Le programme de certification FIDO Authenticator a été lancé en 2018 pour le niveau 1 et a progressivement inclus les autres niveaux supérieurs. Jusqu'à présent, la majorité des fournisseurs sont certifiés L1, mais on s'attend à ce que les fournisseurs recherchent davantage de niveaux de certification plus élevés, en particulier avec les réglementations à venir (par exemple eIDAS) et les exigences d'approvisionnement du secteur qui placent la barre très haut, augmentant ainsi la compétitivité.
10. La confidentialité est une priorité
FIDO a défini une liste de principes de confidentialité et ceux-ci sont appliqués par le programme de certification des authentificateurs FIDO au moins pour le marché grand public.
Enfin, la Certification FIDO a été définie et approuvée par plus de 250 entreprises membres de FIDO Alliance, dont des fournisseurs et des RP, pour instaurer la confiance. Cette confiance est renforcée en offrant des informations de manière transparente sur le niveau de sécurité des authentificateurs.
Le manque de confiance est le premier obstacle à l’adoption par le marché, en particulier pour les produits sécurisés, d’où l’importance de la certification.
Enfin, une augmentation de la confiance peut être facilitée si vous visez un niveau d’assurance de sécurité plus élevé avec des critères d’évaluation qui pourraient couvrir l’ensemble du processus du cycle de vie de l’authentificateur, du développement à la livraison, en passant par l’exploitation jusqu’à la maintenance.