Fini, les mots de passe griffonnés sur un bout de papier? Apple, Microsoft and Google entendent les remplacer par les “passkeys” (que l’on peut translate par “clés d’accès”), un système en gestation depuis des années.
Les iPhone s’ouvrent aux passkeys lundi 12 septembre, à l’occasion de la sortie de leur nouveau logicel central iOS 16, et les ordinateurs d’Apple suivront au mois d’octobre, avec l’arrivée du nouveau logicel central Mac OS Ventura . Windows is for a part déjà prêt à échanger des «passkeys» avec iOS, tandis que son éditeur Microsoft affiche son intention ajouter prochainement toutes les fonctionnalités supplémentaires des passkeys. Quant à Google, the souhaite enterprise “Permre aux développeurs d’utiliser” cette technologie sur Android d’ici à la fin de l’année 2022. L’enjeu est de taille pour les utilisateurs, les logiciels de ces trois entreprises équipant l’écrasante majorité des ordinateurs et des smartphones en circulation.
Les faiblesses du mot de passe sont désormais connues: beaucoup d’utilisateurs choisissent des mots de passe trop simples que des logiciels spécialisés parviennent à deviner, emploient les mêmes mots-clés pour de nombreux services, ou les donnent par inadvertance aux pirates en se faisant piéger par des campagnes d’hameçonnage (phishing). Les clés d’accès, que chacun va donc se voir proposer de plus en plus souvent à la place du tradition in the mot de passe lors de la création d’un compte sur un site ou une application, sont censées résoudre ces problèmes. Explications.
Comment fonctionnent les passkeys?
Avec les passkeys, pour s’inscrire sur un service, une application ou un site (marchand, par exemple), the vous faudra obligatoirement utiliser un appearil qui vous appartient: a smartphone, an ordinateur ou une tablette. Au moment de the inscription, the smartphones crée alors deux clés chiffrées, uniques et spécifiques pour chaque service. D’un côté la clé privée, qui reste sur le smartphone, de l’Autre, la clé publique, détenue par the site or the application en question.
Le service posera une sorte de devinette au smartphone, a “challenge”
Par la suite, à chaque tentative de connexion, le service posera a fate de devinette au smartphone, a «challenge» that he seul pourra résoudre grâce à sa clé privée. Une fois ce «challenge» résolu, pour finaliser la connexion, the utilisateur devra ensuite marquer son approbation et prouver qu’il est bien le propriétaire du smartphone, par exemple en posant son doigt sur le lecteur d’empreintes, en présentant son visage , en tapant un code PIN ou en dessinant un schéma sur l’écran.
Une fois le compte initialisé, the clé privée rejoint un trousseau including toutes les passkeys créées pour chaque service utilisé, abrité dans le smartphone et, c’est l’une des grandes nouveautés, dans un espace de stockage en ligne: le Drive de Google, l’iCloud d’Apple, ou le OneDrive de Microsoft, en fonction du logiciel qui équipe appareil. Les passkeys seront donc accessibles à tous les appearils partageant le même écosystème, par exemple à l’iPhone, l’iPad et le Macbook d’un usager. Elles seront abritées dans un espace en ligne chiffré que personne, sauf l’usager, ne pourra ouvrir.
Les passkeys peuvent-elles être partagées between Google, Microsoft, and Apple?
Oui. Les passkeys peuvent voyager d’un écosystème à autre mais, malheureusement, elles ne se synchronisent pas automatiquement between the clouds of Apple, Microsoft and Google. The faut transférer chacun d’eux manuellement.
Prenons le scénario d’une personne qui s’est inscribed à a nouveau service sur son iPhone, lequel stocke désormais the corresponding passkey. Ce particulier ne peut pas se connecter au même service sur son ordinateur Windows, puisque celui-ci n’appartient pas au même écosystème: il ne peut pas réceptionner cette passkey via iCloud. D’ailleurs, il ne peut pas non plus se connecter à ce service depuis le Macbook d’un proche, même si celui-ci appartient au même écosystème, puisque cet ordinateur est connecté à un autre iCloud que le sien.
The user peut scanner has a QR code with a smartphone, dans lequel est stockée la passkey
Regardless, en ouvrant sur un de ces ordinateurs le site Internet du service, the user if voit proposer d’afficher a QR code, here constitue une sorte de demande de connexion. The peut alors scanner has a QR code with a smartphone, dans lequel est stockée la passkey. Ce smartphone vérifie automatiquement la présence de l’ordinateur à proximité, via une connexion sans fil Bluetooth, pour s’assurer que la demande ne vient pas d’un pirate opérant à distance. The ne reste plus au particulier qu’à approuver the authentication, as dans la procédure décrite précédemment, par exemple en posant son doigt sur le lecteur d’empreintes.
Le scénario avec QR code evening similaire chaque fois que the user aura besoin de se connecter avec deux écosystèmes différents, for example a Windows computer with an Android phone, or an Android phone with a Mac computer.
Par commodité, à la fin de cette procedure, beaucoup de services proposent de créer une nouvelle passkey destinée à l’ordinateur qui n’en avait pas, pour éviter de recommencer cette procédure laborieuse à chaque nouvelle connexion. Contactés par Le Monde, Google et Microsoft confirming par ailleurs travailler à ouvrir the gestion des passkeys à des acteurs tiers, tels les éditeurs de gestionnaires de mots de passe, as LastPass or Dashlane par exemple. Ceux-ci pourraient stocker les passkeys dans leur propre cloud et les rendre accessibles sous différents écosystèmes.
Que se passe-t-il si je perds, casse, ou que l’on me vole mon smartphone?
A la différence des mots de passe, les passkeys ne peuvent ni être notées sur un bout de papier, ni mémorisées dans un coin de la tête, ni regroupées dans un gestionnaire de mots de passe. Elles sont enfermées dans la mémoire chiffrée du smartphone, ce qui constitue une incitation supplémentaire à garder cet appearil sur soi en permanence.
Seule solution: advertiser of nouvelles passkeys auprès de dizaines de services client (…). A parcours du combant
Cela peut s’avérer gênant, par exemple lorsqu’on souhaite remplacer an Apple smartphone for a modèle Android (ou inversement). Il faut impérativement attendre avant de revendre le vieux smartphone pour pouvoir copier ses passkeys manuellement dans le nouveau téléphone, une à une, ce qui annonce complexe et laborieux. La gêne peut être encore plus grande en cas de vol ou la casse du smartphone: yes l’on ne possède aucun autre appearil belonging to même écosystème que l’engin perdu, on ne pourra pas récupérer les passkeys stockées dans le cloud. Seule solution: réclamer de nouvelles passkeys auprès de dizaines de services client, en prouvant à chaque fois son identité. A parcours du combant.
Les choses seraient plus simples si l’on pouvait copier the intégralité de son trousseau de passkeys d’un écosystème à AUTRE. “C’est une discussion très active en ce moment”, reconnaît Andrew Shikiar, executive director of the Alliance FIDO, here coordonne cette technologie. Mais pour y parvenir, il faudra trouver une façon sécurisée d’y parvenir, explique Arnaud Jumelet, expert en sécurité chez Microsoft France:
“L’un des mécanismes-clés de la sécurité des passkeys, c’est que l’Utilisateur donne son accord pour chaque transfert, clé par clé. On veut éviter qu’un virus puisse aspire tous les passkeys d’un coup, et il ne sera pas easy de trouver a technology here guaranteed, tout en permant the migration of a trousseau entier. “
Enfin, certains services continueront malgré tout de collecter nos e-mails et nos numéros de téléphone, notamment pour pouvoir nous identifier au cas où nous perdrions nos passkeys. Selon Srinivasan Sampath, here pilote chez Google divers projets de sécurité informatique, beaucoup de services continueront même, pendant des années, à employer des mots de passe. «Mais plus the usagers utiliseront leurs passkeys en priority pour s’identifier, plus les mots de passe seront réservés à des cas rares, éveillant systématiquement the attention des gestionnaires de services. “ Ceux-ci pourront consacrer toute leur attention à ces cas particuliers.
