Les géants de la Tech, Google, Apple et Microsoft, se sont mis d’accord en mai 2022 afin d’adopter un tout nouveau système d’identification. Ce dernier a été mis au point par la FIDO Alliance et Word Wide Web Consortium. L’objectif est de proposer un système permettant de s’authentifier rapidement, sans mot de passe et en toute sécurité, quel que soit le système d’exploitation ou l’appareil utilisé. Les PassKeys (ou clés d’accès en français) vont-ils supplanter les mots de passe ?
PassKeys, une révolution ?
Les nouveaux iPhone 14 d’Apple sont, depuis le 12 septembre, dotés d’une nouvelle technologie. Cette dernière se nomme Passkey. Cette petite révolution, très simple d’utilisation, arrive avec iOS 16. Les ordinateurs suivront le mois prochain avec le nouveau macOS Ventura. Windows est d’ores et déjà prêt pour les échanges de PassKeys avec iOS. Microsoft souhaite y ajouter de nombreuses fonctionnalités. Quant à Google, le système est déjà intégré dans ses téléphones et navigateurs. Il souhaite surtout permettre aux développeurs d’utiliser cette technologie sur Android dès la fin de cette année.
Et pour l’utilisateur?
Des mots de passe sont parfois griffonnés dans un coin de page, ou répertoriés dans un fichier. C’est bientôt de l’histoire ancienne. Les failles de nos codes sont aujourd’hui bien connues : trop simples, souvent réutilisés, parfois dévoilés lors de campagnes d’hameçonnage. Aujourd’hui, les géants de la Tech sont déterminés à les faire disparaître… Cette technologie PassKeys permet de réduire les vulnérabilités et les risques de piratage.
Qu’est-ce qu’un PassKeys ?
Il s’agit d’une nouvelle méthode permettant de se connecter à un site sans avoir de mot de passe à taper. Sur chaque site internet, une clé de chiffrement unique sera associée à votre appareil. Plus aucune action fastidieuse à effectuer pour vous connecter, seulement, prouver votre identité avec votre empreinte digitale, la reconnaissance faciale ou votre code pin. Ce procédé impose d’avoir systématiquement son téléphone, tablette ou ordinateur, près de vous afin d’utiliser les clés de sécurité. Il vous sera donc impossible de vous connecter à l’aide de l’ordinateur d’un ami sans votre appareil à portée de main.
Comment ça marche un PassKeys ?
Tout d’abord, il est impératif d’utiliser un appareil qui vous appartient. Au moment de vous inscrire, sur un site ou une application, l’ordinateur (tablette ou votre téléphone) va créer 2 clés chiffrées. Ces dernières seront uniques et spécifiques pour chaque site Web. L’une est privée et reste cachée sur votre appareil. L’autre est publique et elle est gardée par le site ou l’application.
La prochaine fois que vous vous connecterez sur le site, une sorte d’énigme sera posée à votre téléphone. Celui-ci sera le seul capable de la résoudre, grâce à la présence de cette clé privée. Afin de finaliser la connexion, il vous faudra prouver que vous êtes le propriétaire de cet appareil en vous authentifiant à l’aide d’une empreinte ou visage permettant de déverrouiller votre téléphone ou à l’aide d’un code Pin.
Une sorte de trousseau répertorie toutes les clés au cœur de votre appareil ainsi que sur un espace de stockage en ligne : OneDrive de Microsoft, iCloud d’Apple ou Drive de Google. L’avantage qu’apporte cette toute nouvelle façon de se connecter, c’est d’avoir la possibilité de partager le trousseau avec tous les appareils d’un même utilisateur. Concrètement, il vous sera aussi facile de vous connecter sur vos sites préférés que de déverrouiller votre appareil.
Est-ce vraiment plus sûr ?
Les clés d’authentification utilisent de la cryptographie. Avec cette méthode, il n’existe plus de trousseau contenant tous les mots de passe, mais seulement un trousseau avec des clés d’accès à vos sites Web, vos e-Mails et à d’autres services en ligne. Les PassKeys remplacent la frappe indispensable de mots de passe par un contrôle biométrique sur nos ordinateurs ou nos téléphones. Ils mettent aussi fin aux attaques de phishing et suppriment les problèmes d’authentification (longueur, complexité, renouvellement, unicité, etc.).
Peut-on partager les PassKeys entre les différents écosystèmes ?
En théorie, la réponse est OUI. Les PassKeys peuvent être transférés d’un écosystème à l’autre. Malheureusement, cette manœuvre ne peut se faire que manuellement. À l’heure actuelle, il n’y a aucune possibilité de les transférer automatiquement. Les éditeurs de gestionnaires de mots de passe, comme Dashlane ou LastPass, ne comptent pas rester à l’écart. En effet, ils prévoient l’introduction de la prise en charge des clés de sécurité dans leur gestionnaire. Ces derniers auront la possibilité de stocker les PassKeys et de les rendre accessibles aux différents écosystèmes.
Les clés d’authentification vont obligatoirement évoluer avec le temps. Cette modification va très certainement faire diminuer les barrières entre les différents écosystèmes d’aujourd’hui.
Et si j’utilise l’appareil d’un ami?
Il vous est également possible de vous connecter sur différents appareils. Un QR code sera créé, lisible par votre smartphone, il faudra activer le Bluetooth, afin de s’assurer que les deux appareils sont proches, puis confirmer votre identité pour vous connecter.
Et si je change, casse ou perds mon téléphone ?
Les clés de sécurité sont impossibles à noter ou à mémoriser. Stockée dans un coin de votre smartphone, cette clé d’accès sera un peu plus difficile à récupérer que votre liste de mot de passe.
Le remplacement d’appareil risque d’être bien plus compliqué si vous changez d’écosystème (Apple vers Android ou inversement). Dans ce cas, vous allez devoir transférer manuellement chaque PassKeys de l’ancien vers le nouvel appareil. Pire, en cas de casse, de vol ou de perte, impossible de les transférer et donc de les récupérer ! Votre seule possibilité sera de récupérer de nouvelles PassKeys auprès de chaque service client, en prouvant auprès de chacun votre identité… Des démarches longues et compliquées en perspectives !
Dans certains cas, il faudrait avoir la possibilité de copier intégralement les clés d’un écosystème vers un autre. Cette option est le sujet de nombreuses discussions très actives pour le moment.
Système généralisé pour 2023 ?
Cette nouvelle fonctionnalité apporte beaucoup d’avantages : fini l’oubli de mots de passe ou le casse-tête pour en trouver de nouveaux plus compliqués. Les sites et applications qui requièrent la création de comptes vont très certainement vous proposer dans un premier temps les deux possibilités (mot de passe et passkey). Il n’y aura évidemment aucune obligation à utiliser cette technologie. Une mise à jour des sites Web devra être faite afin de proposer les clés de sécurité à leurs clients.
Conclusion
Même si les clés d’authentification se propagent vite, les mots de passe ne vont certainement pas disparaître du jour au lendemain. Même si cette nouvelle technologie se démocratise rapidement, certains services vont continuer à utiliser des mots de passe et les adresses mail afin de s’authentifier au cas où nous perdrions nos PassKeys… Aussi, même si la FIDO Alliance et le W3C veillent au respect du standard, son interopérabilité et son universalité entre les systèmes, cette nouvelle méthode passe par 3 acteurs américains. C’est légitime puisqu’il s’agit des 3 principaux éditeurs de système d’exploitation, mais il y a aussi la nécessité de passer par leurs Clouds respectifs, pour le moment. Passer par 3 Google Apple et Microsoft.Cela peut poser des questions. Enfin, qu’en est-il des autres systèmes (ex. : Linux, HarmonyOS, BlackBerry, Tizen…).