TechFlow, 22 septembre, l'expert en sécurité informatique de SlowTide, 23pds, a publié sur la plateforme X qu'une nouvelle méthode d'attaque permet de contourner l'authentification par clé WebAuthn. Les attaquants peuvent exploiter une extension malveillante de navigateur ou une vulnérabilité XSS d'un site web pour intercepter l'API WebAuthn, forcer une dégradation vers une authentification par mot de passe ou falsifier le processus d'enregistrement des clés afin de voler les identifiants. Cette attaque peut être menée sans aucun contact physique avec l'appareil ni accès aux fonctionnalités biométriques.
WebAuthn est une norme d'authentification web importante élaborée par le W3C et le FIDO Alliance, prenant en charge plusieurs méthodes d'authentification telles que les clés matérielles et la reconnaissance biométrique, et est actuellement largement utilisée pour la connexion sécurisée aux sites web. Il est recommandé aux entreprises concernées et aux utilisateurs de suivre attentivement ce risque de sécurité.
