Protocole d'échange d'identifiants (CXP) et Format d'échange d'identifiants (CXF) de WebAuthn

Les Passkeys deviennent rapidement la référence en matière d'authentification en ligne, offrant une alternative sécurisée et résistante au phishing aux mots de passe traditionnels. Soutenus par la FIDO Alliance, les Passkeys reposent sur les normes WebAuthn et FIDO2 et utilisent la cryptographie à clé publique pour éliminer les risques de vol d'identifiants.

Mais à mesure que leur adoption s'accélère, un défi majeur est apparu : Comment importer ou exporter des Passkeys entre différents fournisseurs ? Par exemple, de Bitwarden à 1Password, ou du Trousseau iCloud d'Apple au Gestionnaire de mots de passe de Google ?

Contrairement aux mots de passe, les Passkeys n'ont pas de format facilement exportable ou importable. Ce manque d'interopérabilité crée des frictions pour les utilisateurs et augmente le risque de verrouillage propriétaire.

C'est là que deux nouvelles normes entrent en jeu :

• Le Protocole d'échange d'identifiants (CXP) : il définit un mécanisme sécurisé pour transférer les Passkeys entre fournisseurs.

• Le Format d'échange d'identifiants (CXF) : il définit un format de données standardisé pour les identifiants eux-mêmes, comme les Passkeys, les détails de carte de crédit ou les codes TOTP.

Ensemble, CXP et CXF sont conçus pour rendre la portabilité des Passkeys non seulement possible, mais aussi sécurisée, flexible et conviviale. Dans cet article, nous répondrons aux questions suivantes :

1. Qu'est-ce que le Protocole d'échange d'identifiants (CXP) et comment fonctionne-t-il ?

2. Qu'est-ce que le Format d'échange d'identifiants (CXF) et à quoi ressemble-t-il ?

3. Quel est l'état actuel du développement du Protocole d'échange d'identifiants et du Format d'échange d'identifiants ?

Alors que de plus en plus d'utilisateurs et d'organisations adoptent les Passkeys, un défi crucial demeure : déplacer les identifiants entre les plateformes. Contrairement aux mots de passe, qui peuvent être exportés sous forme de simples fichiers texte ou CSV (aussi peu sécurisé que cela puisse être), les Passkeys reposent sur des paires de clés cryptographiques. Cela rend l'importation/exportation beaucoup plus complexe et beaucoup plus sensible.

Voici ce qui pose actuellement problème dans la migration des Passkeys :

• Pas de format standard : Contrairement aux fichiers CSV pour les mots de passe, les Passkeys n'ont pas de représentation universelle. Chaque fournisseur les stocke différemment.

• Transferts non sécurisés : Dans de rares tentatives de prise en charge des migrations, des identifiants ont été exportés dans des formats non chiffrés, créant de graves risques de sécurité (voir cette discussion sur GitHub).

• Échecs de migration : Sans une structure cohérente, la migration des Passkeys entre fournisseurs pourrait échouer, entraînant la perte d'identifiants ou obligeant les utilisateurs à recréer leurs Passkeys.

• Bloqué par les politiques : Les environnements d'entreprise pourraient désactiver complètement l'exportation d'identifiants, par crainte de transferts non sécurisés ou de problèmes de compatibilité.

• Verrouillage propriétaire : Sans moyens fiables d'exporter les Passkeys, les utilisateurs se retrouvent prisonniers de leur fournisseur actuel, ce qui nuit à leur liberté et à la concurrence.

Ce problème n'est pas hypothétique, il est bien réel. À mesure que les gens utilisent plusieurs appareils, navigateurs et applications pour gérer leurs Passkeys, le besoin d'importer des Passkeys d'un écosystème et d'exporter des Passkeys vers un autre devient urgent.

C'est pourquoi des acteurs majeurs comme 1Password, Dashlane, Bitwarden et NordPass se sont associés début 2023 pour prototyper une solution. Le résultat : un effort collaboratif pour définir des normes ouvertes pour l'échange sécurisé d'identifiants – le Protocole d'échange d'identifiants (CXP) et le Format d'échange d'identifiants (CXF).

Pour relever les défis de la migration des Passkeys, deux normes complémentaires ont vu le jour : le Protocole d'échange d'identifiants (CXP) et le Format d'échange d'identifiants (CXF). Soutenues par des leaders de l'industrie, notamment Apple, Google, Microsoft et 1Password, ces spécifications visent à rendre l'importation et l'exportation de Passkeys sécurisées, standardisées et interopérables.

Le Protocole d'échange d'identifiants (CXP) est une spécification qui définit une méthode sécurisée pour transférer des identifiants entre deux fournisseurs d'identifiants / de Passkeys. Actuellement une Ébauche de travail au sein de la FIDO Alliance, sa conception est encore en évolution, mais elle vise à établir un canal standardisé et sécurisé pour exporter des identifiants depuis un Expéditeur et les importer vers un Destinataire.

Bien que les détails ne soient pas encore finalisés, le protocole devrait utiliser le Chiffrement hybride par clé publique (HPKE) pour garantir que les identifiants sont chiffrés de bout en bout pendant le transit. Cette base cryptographique robuste protégera les données sensibles contre toute interception ou falsification.

Le CXP est considéré comme particulièrement important pour les fournisseurs tiers, comme les gestionnaires de mots de passe, afin de faciliter l'échange d'identifiants entre différentes plateformes, par exemple entre les extensions de navigateur. Dans ces scénarios, le besoin d'un protocole de transport standardisé et hautement sécurisé est essentiel. Comme il n'en est qu'au stade d'ébauche, sa forme finale et son calendrier de normalisation sont incertains, les estimations pointant vers début 2026.

Le Format d'échange d'identifiants (CXF) définit la manière dont les identifiants eux-mêmes sont structurés pour l'échange. Il est actuellement au statut de Projet d'examen, ce qui signifie qu'il est sur le point d'être finalisé en tant que norme.

Contrairement au CXP, qui gère le transfert sécurisé, le CXF se concentre exclusivement sur le format des données. Il spécifie une structure standard basée sur JSON pour différents types d'identifiants, garantissant qu'un identifiant exporté par un fournisseur puisse être correctement compris par un autre.

Le CXF définit des types pour :

• Les Passkeys (public-key-credential)
• Les mots de passe (password)
• Les secrets TOTP (totp)
• Les notes (note)

Ce vocabulaire standardisé est la clé de l'interopérabilité. Par exemple, Apple et Google utilisent déjà le CXF pour transférer des identifiants entre des applications natives sur le même appareil. Comme le transfert se fait localement, un protocole de transport dédié comme le CXP n'est pas nécessaire.

En standardisant la structure, le CXF élimine les problèmes tels que les incompatibilités de format ou la perte partielle de données lors des migrations. Il est également extensible par conception, permettant d'ajouter de nouveaux types d'identifiants dans les futures versions sans rompre la rétrocompatibilité.

Fin 2024, le Protocole d'échange d'identifiants (CXP) et le Format d'échange d'identifiants (CXF) ont atteint différents stades de maturité, portés par une forte dynamique industrielle.

Le développement de CXP et CXF est coordonné par la FIDO Alliance, avec des contributions actives d'acteurs majeurs comme Apple, Google, Microsoft, 1Password, Bitwarden et Dashlane.

Cette large collaboration témoigne d'un engagement commun à faire de la portabilité des Passkeys une réalité. En fait, plusieurs entreprises mettent déjà en œuvre des solutions basées sur les ébauches :

• Apple et Google utiliseront le CXF pour les transferts d'identifiants entre applications sur un même appareil.
• Les gestionnaires de mots de passe tiers développent des prototypes basés sur les premières ébauches du CXP pour se préparer à des échanges sécurisés et multiplateformes.

Les deux spécifications suivent des calendriers différents :

• Le Format d'échange d'identifiants (CXF) est en Projet d'examen. Il devrait être finalisé en tant que norme formelle avant la fin de 2024.
• Le Protocole d'échange d'identifiants (CXP) est une Ébauche de travail. Son chemin vers la normalisation est plus long, avec une publication potentielle début 2026, à mesure que les retours de la communauté sont intégrés pour garantir sa robustesse et sa sécurité pour les cas d'usage multiplateformes.

Les projets de spécifications sont accessibles au public sur le site web de la FIDO Alliance, et les retours des développeurs sont activement encouragés pour les affiner avant leur finalisation.

Pour soutenir l'expérimentation précoce et la planification de la mise en œuvre, l'écosystème des Passkeys inclut désormais :

• Passkeys Debugger : Une plateforme qui aide à déboguer les requêtes WebAuthn de manière compréhensible.

• Communauté Passkey : Une communauté de développeurs de logiciels et de chefs de produit discutant de questions liées aux Passkeys.

• Subreddit Passkey : Un subreddit dédié pour discuter des actualités concernant les Passkeys et WebAuthn, y compris sur CXP et CXF.

• passkeys.eu : Des outils de test pour les développeurs afin de valider les flux WebAuthn et le comportement des Passkeys.

• Ébauche CXP sur GitHub : Structure complète des messages du protocole et flux cryptographique.

• Ébauche CXF sur GitHub : Structure du fichier ZIP et format d'empaquetage des identifiants.

Bien qu'ils ne soient pas encore entièrement normalisés, CXP et CXF sont clairement en bonne voie pour devenir la dernière pièce manquante du puzzle des Passkeys, permettant une importation/exportation sécurisée et transparente pour les utilisateurs et les organisations.

Le Protocole d'échange d'identifiants (CXP) et le Format d'échange d'identifiants (CXF) sont nés de la nécessité de rendre l'importation et l'exportation de Passkeys sécurisées et transparentes. Mais leur potentiel ne s'arrête pas là.

Ces normes établissent un modèle pour transférer n'importe quel identifiant sensible entre fournisseurs, de manière sécurisée, fiable et multiplateforme. Cela ouvre la voie à des cas d'usage plus larges dans les domaines de l'identité, de l'authentification et même des identifiants émis par le gouvernement.

L'une des plus grandes préoccupations concernant l'adoption actuelle des Passkeys est le verrouillage propriétaire. Sans un moyen de déplacer les identifiants en toute sécurité, les utilisateurs sont souvent liés à leur fournisseur d'origine, même si leurs besoins changent.

Avec CXP et CXF, nous nous dirigeons vers un écosystème de Passkeys véritablement interopérable, où les utilisateurs et les entreprises pourront :

• Migrer librement les Passkeys entre les fournisseurs

• Éviter la création d'identifiants en double

• Simplifier les transitions d'appareils et de plateformes

Cela soutient directement le choix du consommateur, favorise la concurrence et renforce la confiance dans le modèle des Passkeys.

Comme l'a dit Christiaan Brand, chef de produit du groupe Identité et Sécurité chez Google :

« À l'avenir, cela pourrait s'appliquer aux permis de conduire mobiles, aux passeports — à tous les secrets que vous souhaitez exporter quelque part pour les importer dans un autre système. »

Imaginez transférer en toute sécurité :

• Les Passkeys (public-key-credential)

• Les secrets TOTP (totp)

• Les détails de paiement (credit-card)

• Les pièces d'identité gouvernementales (identity-document)

tout cela via le même mécanisme d'échange standardisé. C'est l'avenir que CXP et CXF contribuent à façonner.

Avec l'échange d'identifiants vérifiables et chiffrés devenant la norme, les organisations pourront enfin abandonner les exportations CSV non sécurisées, éviter les processus manuels sujets aux erreurs et appliquer des politiques de chiffrement par défaut pour toute manipulation d'identifiants.

Que ce soit dans l'espace grand public, l'informatique d'entreprise ou les systèmes d'identité du secteur public, ce changement élève la barre de sécurité par défaut, sans compromettre la convivialité.

Le Protocole d'échange d'identifiants (CXP) et le Format d'échange d'identifiants (CXF) représentent une évolution cruciale dans l'écosystème des Passkeys. En comblant les lacunes de longue date dans la migration des identifiants, ils offrent un cadre sécurisé et standardisé pour l'importation et l'exportation de Passkeys entre différentes plateformes et fournisseurs. Tandis que le CXF standardise le « quoi » (le format des données) et le CXP standardise le « comment » (le transfert sécurisé), ensemble, ils ouvrent la voie à une véritable portabilité des Passkeys.

Avec un large soutien des leaders de l'industrie et une dynamique croissante au sein de la communauté FIDO, ces spécifications sont en passe de supprimer l'un des derniers grands obstacles à l'adoption des Passkeys : la portabilité.

Pour les développeurs et les organisations qui construisent aujourd'hui des systèmes basés sur les Passkeys, rester à la pointe de CXP et CXF n'est pas seulement une question de pérennisation, c'est aussi un moyen d'offrir de meilleures expériences utilisateur, une sécurité renforcée et une plus grande flexibilité.

Chez Corbado, nous suivons ces développements de près et aidons les entreprises à mettre en œuvre les Passkeys à grande échelle, sans verrouillage propriétaire, sans les tracas de la migration pour les utilisateurs et sans compromis sur la sécurité. À mesure que l'écosystème mûrira, nous serons parmi les premiers à prendre en charge les flux basés sur CXP/CXF pour faire de l'échange sécurisé d'identifiants une réalité.

Les Passkeys sont là. CXP et CXF les aideront à se déployer partout.