La fin des mots de passe en 2023 ? Comment fonctionnent les "passkeys"

Bientôt la fin de la galère des mots de passe ? Les géants des nouvelles technologies veulent en finir avec cette forme d'authentification qui reste jusqu'ici la plus couramment utilisée en ligne malgré ses faiblesses en matière de sécurité et le défi que représente pour les internautes le maintien à jour de mots de passe complexes et différents pour ne pas s'exposer à des fuites de données ou des piratages.

Apple, Google et Microsoft entendent les remplacer par les "passkeys", un mode de connexion en ligne censé résoudre les problèmes des mots de passe. Les trois entreprises ont annoncé au printemps dernier qu'elles allaient progressivement prendre en charge cette norme commune au sein de leurs systèmes d'exploitation et navigateurs respectifs afin de permettre aux internautes de se connecter à leurs services en ligne favoris sans avoir à définir, mémoriser et gérer leur flotte de mots de passe habituels.

Les trois géants s'appuient sur les travaux de l'alliance Fido (Fast IDentity Online ou identité en ligne rapide), une association industrielle qui coordonne depuis 2012 le développement de nouvelles normes de connexion permettant de s'affranchir de la dépendance excessive à l'égard des mots de passe en privilégiant à la place des formes d'authentification locales comme la vérification biométrique ou le dessin d'un schéma.

Comment fonctionnent les "passkeys"

Les "passkeys" correspondent en quelque sorte à des clés d'accès. Ils sont nécessairement liés à l'appareil principal de l'utilisateur. Au moment de s'inscrire sur un service, un site marchand ou une application, ce dernier devra forcément utiliser un appareil qui lui appartient car le processus de vérification implique la conservation d'une clé privée en local.

Concrètement, l'utilisateur devra commencer par définir sur son smartphone par quel moyen il souhaite s'identifier avec son "passkey". Soit via un code PIN à plusieurs chiffres ou un motif à dessiner, soit via la biométrie, l'empreinte digitale ou la reconnaissance faciale. Ce procédé sera ensuite utilisé pour se connecter aux services en ligne sans avoir à saisir de mot de passe. Les sites Web demanderont simplement aux internautes s'ils souhaitent s'authentifier avec leur identifiant FIDO.

Au moment de l'inscription à un service en ligne, le smartphone crée deux clés chiffrées uniques, propre au service en question. La clé privée reste stockée sur l'appareil de l'utilisateur et la clé publique est partagée avec le gestionnaire du service. À chaque connexion, le service vérifiera que les deux clés correspondent bien. Mais la clé privée de l'utilisateur ne pourra être utilisée que s'il l'a déverrouillée sur son appareil par son code secret ou son empreinte biométrique. Ainsi, même en cas de fuite de données du côté de l'éditeur de l'application, les cybercriminels ne seront pas en mesure d'exploiter les clés publiques dérobées.

Un système similaire est déjà proposé par Apple avec son outil de reconnaissance faciale Face ID qui permet aux utilisateurs d'iPhone d'activer le scan du visage pour accéder à certains services et comptes en ligne. La prise en charge du dispositif FIDO par les trois géants technologiques américains doit permettre de généraliser cette pratique à plus grande échelle pour faciliter la vie des utilisateurs et renforcer la sécurité informatique. 

Une fois qu'un "passkey" a été configuré, la clé privée intègre un trousseau qui conserve sur l'appareil de l'utilisateur toutes les clés privées crées pour les différents services utilisés. Ces clés peuvent aussi être hébergées dans un espace de stockage sécurisé en ligne, iCloud d'Apple, OneDrive de Microsoft ou Google Drive, afin de pouvoir être reconnus sur les différents appareils utilisant un même compte ou pour les retrouver en cas de perte de l'appareil. Apple, Google et Microsoft insistent sur le fait que les clés privées sont alors conservées dans un espace chiffré qu'il est impossible d'ouvrir sauf par l'utilisateur.

Les "passkeys" sont encore loin d'être généralisés

S'ils sont porteurs de promesses, les "passkeys" comportent aussi des limites. Ils ne sont pas encore compatibles d'un écosystème à l'autre et les utilisateurs risquent de rencontrer des difficultés pour les renouveler s'ils changent leur appareil principal pour une marque concurrente. 

Le déploiement des "passkeys" sera progressif. Apple a ouvert ses iPhone et ses ordinateurs Mac à cette nouvelle norme après sa keynote de septembre. Google autorise les développeurs Android à utiliser les fonctionnalités des "passkeys" depuis le début du mois de décembre. Et Microsoft a récemment annoncé que son service Azure prendra bientôt en charge les connexions sans mot de passe. Les annonces devraient se multiplier dans les prochaines semaines.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info