Qu’est-ce que le protocole CTAP et à quoi sert-il ?
La grande majorité des utilisateurs décident d’effectuer leurs achats en ligne grâce à la commodité et à la rapidité avec lesquelles ils peuvent acheter un certain produit, sans avoir à chercher physiquement le produit dans le magasin, à faire la queue pour payer et à le rapporter à la maison. En raison de l’augmentation des achats en ligne, un problème fondamental est la sécurité. Aujourd’hui, dans RedesZone, nous allons expliquer ce qu’est le protocole CTAP et à quoi il sert.
Depuis la dernière décennie, tout site Web auquel nous accédons pour effectuer un achat, si nous accédons à un réseau social, un forum, etc. Il nous demande toujours de nous connecter pour un nom d’utilisateur ou un e-mail, ainsi que le mot de passe correspondant avec lequel nous enregistrons le compte. Le principal problème avec l’utilisation de cette méthode de connexion, c’est-à-dire de nous identifier sur le site Web, est qu’il peut être très facile que nos données soient volées ou que notre mot de passe de connexion soit découvert. Cela se produit généralement parce que vous n’utilisez pas de mots de passe forts , car ils peuvent être plus difficiles à mémoriser.
En raison de tous ces problèmes de sécurité, l’Alliance FIDO et le World Wide Web Consortium, mieux connu sous le nom de W3C, ont développé un système beaucoup plus sûr et confortable pour se connecter aux sites Web. Ce développement s’est terminé avec la création de FIDO2 et WebAuthn dont nous avons déjà parlé dans Redes Zone, mais un autre mécanisme tout aussi ou plus important que la plupart des utilisateurs ne connaissent pas est le CTAP ( Client to Authenticator Protocol ).
Qu’est-ce que le CTAP
La première chose que nous devons savoir est que FIDO2 et WebAuthn sont des systèmes conçus pour remplacer le système de mot de passe que tous les utilisateurs utilisent aujourd’hui. Avec FIDO2 et WebAuthn, vous pouvez utiliser des données biométriques pour vous connecter, vous avez un exemple simple dans les ordinateurs portables, mobiles et autres appareils qui, par exemple, intègrent un lecteur d’empreintes digitales. Grâce à l’empreinte digitale, nous pouvons faire de notre mot de passe la même empreinte digitale. Il est très important de ne pas le confondre avec les systèmes qui se trouvent actuellement dans différents appareils, afin que, lorsque vous avez besoin de vous connecter, vous ayez le mot de passe mémorisé (gestionnaire de mots de passe). Ce système n’est pas le FIDO2 ou le WebAuthn,
Une autre option qui existe également, et est de plus en plus utilisée dans les entreprises, est un appareil qui se connecte à notre ordinateur comme une clé USB, où il intègre en interne du matériel pour s’authentifier et avoir une connexion sécurisée.
Ayant vu ce point précédent, nous souhaitons vous expliquer comment fonctionne le CTAP. Le CTAP dans ce cas précédent serait le protocole en charge de contrôler la communication entre la clé USB et le jeton d’authentification. C’est-à-dire que CTAP serait le protocole responsable de la communication sécurisée entre les deux parties, de sorte que d’abord ils communiquent, deuxièmement ils s’authentifient et troisièmement, ils puissent enfin démarrer une session.
Versions CTAP
Après avoir vu ce qu’est CTAP et comment il fonctionne, il est important de savoir qu’il existe actuellement deux versions totalement différentes de CTAP que nous allons voir ci-dessous :
- U2F (Universal 2 nd Factor) : La première version a été créée CTAP est précisément aussi la première version du protocole a été créée et est plus connue sous le nom de U2F qui signifie «Universal 2 nd Factor». Cette version fait référence à l’authentification à deux facteurs, ou comme beaucoup d’entre vous le savent sûrement, à l’authentification en deux étapes qui est devenue si à la mode ces dernières années.
- CTAP2 : La deuxième version de CTAP qui a été créée est CTAP2. CTAP2 est utilisé avec WebAuthn, et ce qu’il permet, c’est que FIDO2 peut fonctionner. Autrement dit, alors que WebAuth gère la connexion entre l’ordinateur de l’utilisateur et le site Web, le protocole CTAP2 est responsable de la connexion entre l’ordinateur de l’utilisateur et le site Web à l’aide de l’authentificateur. C’est-à-dire que WebAuthn gère la connexion et CTAP2 gère la connexion de l’authentificateur.
Comment fonctionne le protocole CTAP
La première chose sur laquelle nous devons être clairs est que CTAP et WebAuthn doivent travailler ensemble pour rendre FIDO2 possible.
Nous savons tous que, pour pouvoir se connecter à un site Web, une application en ligne, etc. Celui-ci doit avoir un système d’authentification mis en place pour pouvoir démarrer une session FIDO2, cela se fait grâce à un périphérique externe, comme par exemple nous l’avons commenté plus haut à propos d’une clé USB, qui serait en fait un token, l’utilisateur qui en possède cet appareil et ainsi pouvoir vous identifier sur le site internet, l’application, etc. Grâce au token, on évite d’avoir à utiliser un mot de passe qui serait très facile à voler ou à découvrir.
Méthodes de connexion de l’authentificateur
Actuellement, il existe différentes méthodes pour pouvoir connecter notre dispositif d’authentification à notre équipe. Bien que le plus courant aujourd’hui soit d’utiliser un appareil qui se connecte au port USB, car ils ont été l’un des premiers conçus, nous pouvons également connecter l’appareil qui nous donnerait notre jeton de connexion sécurisé via une connexion NFC ou Bluetooth.
Ce qui est nécessaire pour que notre dispositif de connexion sécurisé fonctionne
Pour que nous puissions utiliser un appareil pour nous authentifier, nous devons disposer d’au moins un navigateur Web compatible avec les nouvelles normes CTAP, WebAuthn et FIDO2. Actuellement, si nous avons le navigateur mis à jour, Google Chrome et Mozilla Firefox sont compatibles avec FIDO2 dans ses dernières versions.
Autre type d’authentificateurs :
Comme nous l’avons déjà dit, les smartphones avec empreinte digitale, reconnaissance de l’iris et même reconnaissance de notre visage, nous pouvons nous authentifier dans différents services. Ces méthodes d’authentification, étant incorporées dans le matériel, ne nécessitent aucun composant externe et, par conséquent, un protocole de communication séparé pour les appareils n’est pas nécessaire, c’est-à-dire ce que fait le CTAP.
Comment fonctionne la communication CTAP
La communication CTAP fonctionne comme suit :
- Premièrement : le navigateur web se connecte à notre dispositif d’authentification et demande des informations.
- Deuxièmement : une fois que vous avez communiqué avec l’appareil, il vous envoie des informations sur la méthode d’authentification qu’il peut proposer au navigateur.
- Troisièmement : selon les informations reçues par le navigateur, il enverra un ordre à l’authentificateur, qui peut être de démarrer une session ou une erreur.
Après avoir vu comment fonctionne la communication CTAP, nous pouvons mieux comprendre comment fonctionnent les systèmes utilisés par des fabricants comme Apple. Comme le matériel d’authentification est intégré au matériel physique de l’appareil, les données de connexion telles que notre empreinte digitale ou notre visage, ne quittent jamais l’appareil, c’est-à-dire que le navigateur Web envoie uniquement via WebAuthn la confirmation de la validité de la connexion, mais il ne vérifie jamais que l’empreinte digitale ou l’image de notre visage est authentique, puisque c’est ce que l’appareil prend en charge en incorporant tout dans le même matériel.
On peut dire que grâce à l’utilisation de CTAP, WebAuthn et FIDO2, il est enfin possible d’éliminer les attaques man-in-the-middle pour voler les mots de passe et le phishing, puisque les utilisateurs n’ont pas à fournir de mot de passe pour démarrer la session.