Les Passkeys sont une nouvelle technologie présentée par Apple lors de la WWDC 2022. Basé sur les standards de l’Alliance FIDO, ce nouveau système permet de se connecter sans mot de passe grâce à des clés numériques basées sur les données biométriques. Bientôt adoptée par Google et Microsoft, cette innovation pourrait devenir la nouvelle norme dès la fin de l’année. Découvrez tout ce que vous devez savoir sur ce progrès majeur pour la cybersécurité.
Le premier mot de passe fut créé par Fernando Corbató dans les années 1960. L’informaticien américain est décédé en 2019 à l’âge de 93 ans, mais son invention lui a survécu.
Encore aujourd’hui, le mot de passe reste le principal système d’identification informatique. Pourtant, en termes de cybersécurité, cette technologie est loin d’être à la hauteur face aux menaces modernes.
Chaque année, des mots de passe ridiculement simples comme « 12345 » ou « motdepasse » sont à la source de piratages et de fuites de données. Les mots de passe faibles et réutilisés sont l’un des principaux risques de cybersécurité sur le web.
Même les mots de passe plus complexes et robustes peuvent être découverts par les hackers, grâce à l’ingénierie sociale ou en cas d’accès à une base de données. Et les conséquences d’une fuite de mot de passe peuvent être catastrophiques.
Depuis de nombreuses années, l’industrie de l’informatique promet une technologie plus sécurisée que le mot de passe. En vain. Selon le Data Breach Report de Verizon, 80% des fuites de données sont causées par des mots de passe trop faibles.
Toutefois, dans le cadre de sa Worlwide Developer Conference 6 juin 2022, Apple vient d’annoncer une belle surprise. Dès le mois de septembre, la firme californienne va permettre l’identification sans mot de passe sur les Macs, iPhone, iPad et Apple TV.
Les utilisateurs de iOS 16 et macOS Ventura pourront se connecter aux sites web et applications à l’aide des « Passkeys » : une nouvelle invention d’Apple qui pourrait bel et bien mettre fin à l’ère du mot de passe.
Qu’est-ce que Passkeys ?
Les Passkeys reposent sur la création de clés numériques à l’aide de Touch ID (le capteur d’empreintes digitales) ou Face ID (la reconnaissance faciale). Cette nouvelle technologie a été expliquée sur la scène de la WWDC par Darin Adler, vice-président des technologies internet.
Après avoir créé une clé numérique, il sera possible de l’utiliser à la place d’un mot de passe pour créer un compte sur n’importe quel site web ou application. Pour se connecter, l’utilisateur pourra donc s’authentifier avec ses données biométriques (empreinte ou visage) plutôt qu’en écrivant ses identifiants. En guise d’alternative, il sera aussi possible de scanner un code QR.
En cas de connexion à un site web sur Mac, l’utilisateur sera invité à vérifier son identité via son iPhone ou son iPad. Les Passkeys seront stockées directement sur les appareils plutôt que sur des serveurs distants, ce qui garantit une sécurité maximale.
Comment ça marche ?
Les Passkeys sont basées sur l’API Web Authentication (WebAuthn) et sont chiffrées de bout en bout. Cela signifie que même Apple ne pourra pas y accéder. Le système de création de Passkeys utilise un système d’authentification par clé publique-privée pour prouver son identité.
Les clés seront synchronisées entre les appareils à l’aide de iCloud Keychain, ce qui permettra de les conserver en cas de perte d’un appareil.
Cette nouvelle invention d’Apple pourrait représenter un véritable changement pour la sphère numérique. La fin des mots de passe constituerait un pas en avant pour la cybersécurité en ligne.
En plus d’éliminer le risque qu’un criminel devine un mot de passe, ce nouveau système pourrait réduire le danger des attaques par phishing ou hameçonnage. De plus, les mots de passe dévoilés lors de fuites de données deviendraient strictement inutiles.
En réalité, les Passkeys ont été présentées par Apple pour la première fois pendant la WWDC 2021. Peu après, la Pomme a commencé à tester ce nouveau système en cercle fermé.
Une implémentation des standards FIDO
Notons qu’Apple n’est pas seule à vouloir mettre un terme aux mots de passe. L’alliance FIDO, un groupe industriel du domaine de la technologie, travaille depuis près d’une décennie sur des standards permettant d’abandonner ce système.
Au fil des derniers mois, FIDO a pris plusieurs mesures pour concrétiser son projet. En mars 2022, le groupe a annoncé avoir découvert comment stocker des clés cryptographiques synchronisées entre les appareils des utilisateurs.
Le terme de « passkeys » a d’ailleurs été employé, aux côtés de l’appellation « identifiants FIDO multi-appareils ». Les Passkeys d’Apple sont en réalité une implémentation de ces standards par la firme américaine.
En mai 2022, Apple, Microsoft et Google ont annoncé leur soutien aux standards FIDO. La directrice de la Cybersecurity and Infrastructure Security Agency des États-Unis, Jen Easterly, estimait que l’adoption de ces standards permettrait d’assurer la sécurité des internautes.
Les trois géants avaient promis de commencer à déployer cette nouvelle technologie dans le courant de l’année à venir. Toutefois, les utilisateurs d’un compte Microsoft ont pu se débarrasser de leurs mots de passe depuis le mois de septembre 2021 et Google travaille sur sa propre technologie alternative depuis 2008.
Vers des Passkeys compatibles Apple, Google et Microsoft ?
Quand ces trois titans de la tech auront déployé leurs versions des Passkeys, on peut s’attendre à ce que le système fonctionne entre tous les différents appareils de ces constructeurs.
Il sera par exemple possible d’utiliser l’iPhone pour se connecter à un PC Windows, ou une tablette Android pour se connecter à un site web sur le navigateur Microsoft Edge.
Selon Andrew Shikiar, directeur exécutif de la FIDO Alliance, « tous les standards FIDO ont été développés de façon collaborative, avec l’aide de centaines d’entreprises ». Il confirme qu’Apple est la première entreprise à déployer cette technologie, et que « cette approche sera bientôt tangible pour les consommateurs du monde entier ».
Un danger pour la cybersécurité ?
Le succès des Passkeys dépendra toutefois de leur bon fonctionnement. On ignore pour l’instant ce qu’il adviendra des clés d’un utilisateur s’il abandonne l’écosystème Apple pour Android ou autre environnement.
En outre, les développeurs devront implémenter des changements à leurs sites web et applications pour prendre en charge ce nouveau système. Même si le processus sera sans doute simplifié par Apple, il faudra sans doute attendre pour que la technologie soit totalement démocratisée.
Quel que soit le niveau de sécurité des Passkeys, le grand public aura besoin d’un certain temps pour accepter cette nouvelle technologie et comprendre son fonctionnement.
Comme le disait Alex Simons, directeur de la gestion d’identité chez Microsoft, en mai 2022, « une solution viable doit être plus sûre, simple et rapide que les mots de passe et les méthodes traditionnelles d’authentification multi-facteurs utilisées aujourd’hui ».
Si les Passkeys sont trop pénibles à utiliser, les internautes préféreront naturellement se contenter des mots de passe. Malgré le risque de piratage. Toutefois, Garrett Davidson, ingénieur de l’équipe Authentication Experience d’Apple, « puisque cette technologie permet de se connecter en une seule pression d’écran, elle est à la fois plus simple, plus rapide et plus sécurisée que presque toutes les formes courantes d’authentification aujourd’hui ».
En attendant que cette innovation devienne la nouvelle norme, tâchez d’adopter les meilleures pratiques de mots de passe. Utilisez uniquement des mots de passe robustes et uniques, ne comportant pas d’information personnelle.
La meilleure solution est d’utiliser un logiciel de gestionnaire de mot de passe, permettant de créer automatiquement des mots de passe longs et complexes et de les stocker en sécurité. Au moment de vous connecter à un site web, le logiciel entre le mot de passe automatiquement. Consultez notre sélection des meilleurs Password Managers.
Enfin, pour maximiser la sécurité, activez l’authentification à deux facteurs sur tous les sites web et applications proposant cette option. Ainsi, même si un hacker s’empare de votre mot de passe, il ne pourra se connecter à vos comptes sans confirmation sur votre smartphone ou votre boîte email.
https://www.youtube.com/watch?v=q5D55G7Ejs8
- Partager l'article :