Le PassKey va-t-il enterrer le mot de passe ?

Les géants de la Tech, Google, Apple et Microsoft, se sont mis d’accord en mai 2022 afin d’adopter un tout nouveau système d’identification. Ce dernier a été mis au point par la FIDO Alliance et Word Wide Web Consortium. L’objectif est de proposer un système permettant de s’authentifier rapidement, sans mot de passe et en toute sécurité, quel que soit le système d’exploitation ou l’appareil utilisé. Les PassKeys (ou clés d’accès en français) vont-ils supplanter les mots de passe ?

PassKeys, une révolution ?

Les nouveaux iPhone 14 d’Apple sont, depuis le 12 septembre,  dotés d’une nouvelle technologie. Cette dernière se nomme Passkey. Cette petite révolution, très simple d’utilisation, arrive avec iOS 16. Les ordinateurs suivront le mois prochain avec le nouveau macOS Ventura. Windows est d’ores et déjà prêt pour les échanges de PassKeys avec iOS. Microsoft souhaite y ajouter de nombreuses fonctionnalités. Quant à Google, le système est déjà intégré dans ses téléphones et navigateurs. Il souhaite surtout permettre aux développeurs d’utiliser cette technologie sur Android dès la fin de cette année.

Et pour l’utilisateur?

Des mots de passe sont parfois griffonnés dans un coin de page, ou répertoriés dans un fichier. C’est bientôt de l’histoire ancienne. Les failles de nos codes sont aujourd’hui bien connues : trop simples, souvent réutilisés, parfois dévoilés lors de campagnes d’hameçonnage. Aujourd’hui, les géants de la Tech sont déterminés à les faire disparaître… Cette technologie PassKeys permet de réduire les vulnérabilités et les risques de piratage.

Qu’est-ce qu’un PassKeys ?

Il s’agit d’une nouvelle méthode permettant de se connecter à un site sans avoir de mot de passe à taper. Sur chaque site internet, une clé de chiffrement unique sera associée à votre appareil. Plus aucune action fastidieuse à effectuer pour vous connecter, seulement, prouver votre identité avec votre empreinte digitale, la reconnaissance faciale ou votre code pin. Ce procédé impose d’avoir systématiquement son téléphone, tablette ou ordinateur, près de vous afin d’utiliser les clés de sécurité. Il vous sera donc impossible de vous connecter à l’aide de l’ordinateur d’un ami sans votre appareil à portée de main.

Comment ça marche un PassKeys ?

Tout d’abord, il est impératif d’utiliser un appareil qui vous appartient. Au moment de vous inscrire, sur un site ou une application, l’ordinateur (tablette ou votre téléphone) va créer 2 clés chiffrées. Ces dernières seront uniques et spécifiques pour chaque site Web. L’une est privée et reste cachée sur votre appareil. L’autre est publique et elle est gardée par le site ou l’application.

La prochaine fois que vous vous connecterez sur le site, une sorte d’énigme sera posée à votre téléphone. Celui-ci sera le seul capable de la résoudre, grâce à la présence de cette clé privée. Afin de finaliser la connexion, il vous faudra prouver que vous êtes le propriétaire de cet appareil en vous authentifiant à l’aide d’une empreinte ou visage permettant de déverrouiller votre téléphone ou à l’aide d’un code Pin.

Une sorte de trousseau répertorie toutes les clés au cœur de votre appareil ainsi que sur un espace de stockage en ligne : OneDrive de Microsoft, iCloud d’Apple ou Drive de Google. L’avantage qu’apporte cette toute nouvelle façon de se connecter, c’est d’avoir la possibilité de partager le trousseau avec tous les appareils d’un même utilisateur. Concrètement, il vous sera aussi facile de vous connecter sur vos sites préférés que de déverrouiller votre appareil.

Est-ce vraiment plus sûr ?

Les clés d’authentification utilisent de la cryptographie. Avec cette méthode, il n’existe plus de trousseau contenant tous les mots de passe, mais seulement un trousseau avec des clés d’accès à vos sites Web, vos e-Mails et à d’autres services en ligne. Les PassKeys remplacent la frappe indispensable de mots de passe par un contrôle biométrique sur nos ordinateurs ou nos téléphones. Ils mettent aussi fin aux attaques de phishing et suppriment les problèmes d’authentification (longueur, complexité, renouvellement, unicité, etc.).

Peut-on partager les PassKeys entre les différents écosystèmes ?

En théorie, la réponse est OUI. Les PassKeys peuvent être transférés d’un écosystème à l’autre. Malheureusement, cette manœuvre ne peut se faire que manuellement. À l’heure actuelle, il n’y a aucune possibilité de les transférer automatiquement. Les éditeurs de gestionnaires de mots de passe, comme Dashlane ou LastPass, ne comptent pas rester à l’écart. En effet, ils prévoient l’introduction de la prise en charge des clés de sécurité dans leur gestionnaire. Ces derniers auront la possibilité de stocker les PassKeys et de les rendre accessibles aux différents écosystèmes.

Les clés d’authentification vont obligatoirement évoluer avec le temps. Cette modification va très certainement faire diminuer les barrières entre les différents écosystèmes d’aujourd’hui.

Et si j’utilise l’appareil d’un ami?

Il vous est également possible de vous connecter sur différents appareils. Un QR code sera créé, lisible par votre smartphone, il faudra activer le Bluetooth, afin de s’assurer que les deux appareils sont proches, puis confirmer votre identité pour vous connecter.

Et si je change, casse ou perds mon téléphone ?

Les clés de sécurité sont impossibles à noter ou à mémoriser. Stockée dans un coin de votre smartphone, cette clé d’accès sera un peu plus difficile à récupérer que votre liste de mot de passe.

Le remplacement d’appareil risque d’être bien plus compliqué si vous changez d’écosystème (Apple vers Android ou inversement). Dans ce cas, vous allez devoir transférer manuellement chaque PassKeys de l’ancien vers le nouvel appareil. Pire, en cas de casse, de vol ou de perte, impossible de les transférer et donc de les récupérer ! Votre seule possibilité sera de récupérer de nouvelles PassKeys auprès de chaque service client, en prouvant auprès de chacun votre identité… Des démarches longues et compliquées en perspectives !

Dans certains cas, il faudrait avoir la possibilité de copier intégralement les clés d’un écosystème vers un autre. Cette option est le sujet de nombreuses discussions très actives pour le moment.

Système généralisé pour 2023 ?

Cette nouvelle fonctionnalité apporte beaucoup d’avantages : fini l’oubli de mots de passe ou le casse-tête pour en trouver de nouveaux plus compliqués. Les sites et applications qui requièrent la création de comptes vont très certainement vous proposer dans un premier temps les deux possibilités (mot de passe et passkey). Il n’y aura évidemment aucune obligation à utiliser cette technologie. Une mise à jour des sites Web devra être faite afin de proposer les clés de sécurité à leurs clients.

Conclusion

Même si les clés d’authentification se propagent vite, les mots de passe ne vont certainement pas disparaître du jour au lendemain. Même si cette nouvelle technologie se démocratise rapidement, certains services vont continuer à utiliser des mots de passe et les adresses mail afin de s’authentifier au cas où nous perdrions nos PassKeys… Aussi, même si la FIDO Alliance et le W3C veillent au respect du standard, son interopérabilité et son universalité entre les systèmes, cette nouvelle méthode passe par 3 acteurs américains. C’est légitime puisqu’il s’agit des 3 principaux éditeurs de système d’exploitation, mais il y a aussi la nécessité de passer par leurs Clouds respectifs, pour le moment. Passer par 3 Google Apple et Microsoft.Cela peut poser des questions. Enfin, qu’en est-il des autres systèmes (ex. : Linux, HarmonyOS, BlackBerry, Tizen…).

  1. Question bête : c’est pas la fin du partage de site par partage de mot de passe ca ?

    Alors, je vois bien l’interet pour des trucs comme Netflix… (ca empechera pas, mais complexifiera un peu), mais le nombre de fois ou j’ai dit a quelqu’un « donne moi ton mdp, je vais te configurer telle site / messageroe…)

  2. Les passkeys c’est sans moi ! Encore un machin qui sous couvert de t’apporter de la sécurité, te met sous contrôle des sociétés privées (mais bien sûr pour ton bien…).
    Les passkeys ressemblent aux paires de clés qu’on utilise pour une authent ssh par exemple, sauf qu’on t’oblige à passer par leur système, et forcément tu sera plus facilement pistable, et le nécessaire est fait pour te compliquer la vie et rester dans le pré de ton « protecteur ».

    Déjà les second facteurs, je refuse (sauf obligé comme dans ma boite , grrr). Etre obligé d’avoir mon smartphone à portée et d’attendre un code, le saisir alors que j’ai déjà saisi un MDP… sans dec.

    Je fais le nécessaire pour avoir des couples alias_email/mdp différents par site, avec des mdp compliqués, sauvegardés et protégés par mes soins.

    Nan, plus j’y réfléchis, moins j’aime ces trucs. Je me donne l’impression d’être un vieux con en disant cela, mais je préfère garder le contrôle.

  3. Totalement en accord avec « Paulo les Gaz », je fais exactement comme lui (mots de passe très longs et dans mon keypass bien chez moi et pas ailleurs)

  4. Situation un peu similaire avec les banques qui obligent d’avoir installé leur appli sur un smartphone pour s’identifier avec un navigateur Web

  5. Je vais à contrecourant mais je trouve l’initiative superbe de la fido Alliance.
    Microsoft Google Apple et le W3C ont rallié donc c’est de bonne augure pour une réussite.

    Vasu Jakkal, vice-président de la sécurité chez Microsoft, a défini de la meilleure façon possible l’un des principaux avantages de ce système de vérification : « En utilisant des clés de passe sur leurs appareils mobiles, les utilisateurs peuvent se connecter à un navigateur Google Chrome fonctionnant sous Microsoft Windows, en utilisant un mot de passe sur un appareil Apple. »

    https://www.netcost-security.fr/mobilite/100097/pa...

    Il faut pas faire le papy qui dit « moi je ne roulerais jamais en voiture électrique.( je lui ait répondu, tu vas mourir si vite ?)

    1. Perso j’espère rouler en voiture électrique! (mais d’abord j’emmène ma titine au bout)

      Mais me contraindre à avoir en permanence sur moi un smartphone, et dévouer à cet appareil fragile, sur lequel j’ai peu de contrôle, le rôle de stocker les clés de ma vie numérique ???? Même pas en rêve.

      Maintenant si ces passkeys peuvent être manipulés comme les paires de clés RSA/DSA/EdDSA, et que pour un même site, on puisse:

      – soit utiliser 1 clé privée stockée dans un coffre (coffre dont J’AI le contrôle) auquel accèdent tous nos appareils.
      – soit plusieurs clés privées, 1 par appareil (comme ça en cas de perte/vol/casse du smartphone par exemple, suffit juste de révoquer la clé de celui ci).

      Alors oui, why not. Ca ne me gène pas d’utiliser des fichiers (qu’on les appel passkeys, rsa key, ou autres) pour m’authentifier. Je le fais déjà depuis belle lurette pour mes connexion ssh (@home ou au taf, et même password auth desactivé dans la conf sshd systématiquement !).

      Ce qui me gêne grave, c’est la centralisation autour du smartphone! Je ne veux pas être prisonnier de ce truc, à en voire certains paniqués parce qu’ils l’ont oublié.

  6. J’ai rien compris à ce paragraphe:
    Et si j’utilise l’appareil d’un ami?
    Il vous est également possible de vous connecter sur différents appareils. Un QR code sera créé, lisible par votre smartphone, il faudra activer le Bluetooth, afin de s’assurer que les deux appareils sont proches, puis confirmer votre identité pour vous connecter.

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.