Les Passkeys : la solution qui réconcilie simplicité et sécurité ?
Face au dépassement des mots de passe traditionnels, les passkeys deviennent une alternative à la fois pratique et hautement sécurisée pour l’authentification. Cette méthode d’authentification, nous permet de nous connecter à nos comptes en ligne via un appareil de confiance, comme un iphone, sans avoir à saisir un mot de passe. Les grandes entreprises comme Google encourage l’utilisation des passkeys pour que l’on ai une navigation.
Comment fonctionne le Passkey ? Quels avantages face aux mots de passe ?
Les passkeys sont un dispositif de remplacement des mots de passe développé par l’alliance FIDO (Alliance Fast Identity Online), un regroupement d’entreprises souhaitant réduire la dépendance aux mots de passe dans le monde numérique.
En effet, il est connu que les mots de passe posent d’importants problèmes de sécurité, et ne sont pas totalement fiables. D’après l’alliance FIDO, 89% des entreprises déclaraient encore en 2022 avoir été ciblées par des campagnes de phishing.
Les mots de passe, bien que longtemps considérés comme fondamentaux pour sécuriser nos activités en ligne, montrent aujourd’hui leurs limites car :
- Nous choisissons souvent des mots de passe trop simples, facilement vulnérables aux attaques d’ingénierie sociale ou automatisées.
- La réutilisation des mêmes identifiants sur plusieurs services fragilise l’ensemble de la présence numérique.
- Même les mots de passe complexes ne garantissent pas une protection totale face aux attaques de phishing.
C’est là qu’interviennent les passkeys, une clé d’authentification nouvelle génération qui change la donne. Leur principal atout réside dans leur liaison intrinsèque au domaine web lors de la création du compte. Ainsi, même face à une copie parfaite d’une page de connexion frauduleuse, la pass Key ne permettra pas de se connecter, car le domaine ne correspondra pas à celui de l’enregistrement initial. L’authentification peut alors s’effectuer facilement via des méthodes biométriques comme l’empreinte digitale sur votre iPhone ou un code pin sécurisé sur votre appareil, offrant une expérience utilisateur fluide et une sécurité renforcée. Google encourage activement l’adoption de cette technologie pour une navigation plus sûre.
Quels est le mécanisme derrière la sécurité des passkeys
La sécurité des passkeys repose sur la cryptographie asymétrique. Ce système permet de sécuriser un échange, sans qu’aucun secret ne soit partagé entre les parties impliquées. Ainsi, en cas de compromission d’une application que vous utilisez, seule votre clef publique sera divulguée. Celle-ci sera alors inutilisable en l’état, car l’attaquant ne pourra pas récupérer votre clef privée à partir de votre clef publique. Une passkey ne peut pas être devinée, craquée ou ré-utilisée sur plusieurs sites, de par sa construction. On échappe donc aux principales faiblesses du mot de passe, sans aucune action de la part de l’utilisateur. De plus, les protocoles et concepts mathématiques utilisés répondent aux derniers standards en matière de sécurité.
Une passkey est composée de deux clés : l’une publique et l’autre privée. C’est cette paire de clés numériques qui permet la bonne sécurisation de l’authentification. Lors de la création d’un compte en ligne, l’utilisateur va ainsi générer une clef privée et transférer la clef publique associée au site web. Ces clés sont uniques et spécifiques à chaque service en ligne de l’utilisateur.
A chaque identification, l’application demandera à l’utilisateur de résoudre un challenge dont la réponse ne peut être produite qu’à partir d’une clef privée. Évidemment, toutes ces actions sont transparentes pour l’utilisateur, le seul prérequis étant la possession de la clef privée au moment de la connexion. Ce dernier n’aura qu’à renseigner son login puis autoriser l’authentification via une validation biométrique (FaceID, empreinte digitale, etc.) ou encore un code PIN.
Une expérience utilisateur améliorée
Voyons comment se traduisent les passkeys en termes d’expérience utilisateur. Ci-dessous, un exemple de la création d’un compte sur passkeys.io avec un téléphone :
Observons maintenant comment les passkeys nous permettent de nous connecter sur PC à passkeys.io. A noter que dans cet exemple, la passkey est stockée dans un trousseau iCloud :
Comme vous pouvez le constater, l’expérience de connexion est simplifiée au maximum et ne nécessite de retenir que l’identifiant utilisé pour le compte en ligne. Toutefois, le stockage des passkeys est un vaste sujet de réflexion, peu de choix s’offrent encore aux utilisateurs.
L’adoption des passkeys et ses limites
Malgré ses bénéfices d’application, le développement généralisé des passkeys va nécessiter encore de nombreux développements et ajustements. L’un des plus gros freins à l’utilisation massive des passkeys est le stockage des clés privées. Actuellement, Google et Apple proposent de stocker ces clés privées sur leur gestionnaire de mots de passe respectifs (Google Password Manager, Trousseau iCloud) mais il n’existe pas de système de transfert entre les deux écosystèmes. L’alliance FIDO travaille donc activement sur ce sujet, et met tout en œuvre pour proposer une solution de transfert à la fois sécurisée et user-friendly.
De par leur construction, les passkeys ne sont pas liés à un seul appareil. Par exemple, les clefs privées peuvent être stockées sur iCloud et synchronisées entre plusieurs périphériques. Cela pose donc un véritable problème de sécurité pour les entreprises. En effet, les utilisateurs pourraient y accéder sur des appareils non managés par les politiques de sécurité de leur entreprise. Un périphérique non managé pourrait ainsi être synchronisé avec les passkeys professionnels de l’utilisateur, tout en étant vulnérable par manque de correctifs de sécurité. Une entreprise souhaitant déployer l’authentification par passkeys pour l’ensemble de ses terminaux (endpoints) doit absolument penser ce type de problèmes pour éviter des failles de sécurité potentielles.
L’alliance FIDO a encore de nombreux écueils, devant elle, pour démocratiser cette technologie mais l’avenir sera très certainement passwordless. Les passkeys sont un moyen de connexion sécurisé, user-friendly et dématérialisé n’offrant que des avantages comparées aux méthodes traditionnelles. Il ne fait aucun doute que cette technologie sera adoptée sur le long terme.
Quels sites utilisent passkey ?
L’adoption des passkeys progresse rapidement, avec l’implication de nombreuses entreprises tels que :
- Google : permet une connexion sans mot de passe à des services comme gmail et Youtube.
- Microsoft : prise en charge pour les comptes personnels.
- Apple : intégration native au sein de l’écosystème IOS, IPaDOS et macOS.
- 1Password : l’un des premiers gestionnaires de mots de passe à implémenter les passkeys.
- GitHub : cette entreprise commence également à proposer cette méthode d’authentification.
Il est important de noter que cette liste n’est pas exhaustive et évolue rapidement. Pour rester informé, vous pouvez consulter des sites comme FIDO Alliance ou des blogs spécialisés en cybersécurité. Les blogs tenus par des experts reconnus, sont des sources fiables pour suivre les dernières intégrations et comprendre les avantages concrets de cette technologie pour la sécurité de nos comptes en ligne.
Thomas Halouis
Consultant Access Management
![Lire la suite à propos de l’article [ILEX] La transformation digitale dans la distribution, la sécurité au service de la relation client](https://www.synetis.com/wp-content/uploads/2012/09/tn_ilex1.gif)
