Les "passkeys" vont-ils vraiment remplacer les mots de passe ?

Connaissez-vous les “passkeys” ?  Depuis plusieurs années, les géants du Web développent cette nouvelle forme d’authentification qui ambitionne de remplacer les mots de passe à moyen terme. Avec les "passkeys”, que l’on peut traduire par “clé d’accès” en français, ils entendent répondre aux faiblesses récurrentes des mots de passe et aux défis posés par leur maintien à jour pour les internautes. 

Aujourd’hui, les mots de passe sont l’une des failles les plus importantes dans la sécurité informatique. Ils doivent être d’une complexité extrême pour garantir leur sécurité. Ils doivent aussi être mis à jour régulièrement et ne doivent pas non plus être répétés d’un site à l’autre pour prévenir les fuites de données. Si bien qu’il devient difficile de les retenir au quotidien. Et l’utilisation des applications de gestionnaires de mots de passe est loin d’être un réflexe pour la majorité des internautes.

Partant de constat, Apple, Google, Microsoft et une dizaine d’entreprises technologiques ont mis au point un système sécurisé qui permet d’accéder à ses comptes sans avoir à se souvenir des mots de passe.

Comment fonctionnent les “passkeys”

Pour faire simple, à chaque fois que vous créerez un compte sur un site, ce dernier va créer une serrure virtuelle, qu’il ne sera possible d’ouvrir qu’avec une seule clé. Cette clé sera conservée seulement sur votre téléphone ou votre ordinateur. De cette façon, il vous suffira de déverrouiller votre téléphone ou votre ordinateur pour accéder à votre compte. Soit en tapant un code PIN, soit en scannant votre empreinte ou votre visage.

Les "passkeys" sont en fait la traduction simplifiée d’un mécanisme de chiffrement basé sur l’utilisation de clés cryptographiques, des suites de chiffres et de lettres uniques aléatoires suffisamment longues et complexes. Les "passkeys" sont conçus pour reléguer au second plan le processus d’échange de clés. Le problème cryptographique est résolu simplement en déverrouillant un appareil de confiance.

Une fois configurés, les "passkeys" sont censés être plus rapides, plus pratiques, mais aussi plus sécurisés que les mots de passe à l'usage. Le système a l’avantage de ne pas être vulnérable aux fuites de données car les clés privées restent cloisonnées dans les appareils des utilisateurs. Il faudrait avoir un accès direct à votre smartphone pour obtenir votre "passkeys". Les "passkeys" ne sont pas non plus exposés aux menaces de phishing, car aucun indice ne permet de les deviner.

Encore des freins à leur généralisation

Les "passkeys" sont porteurs de nombreuses promesses. Mais ils sont loin d’être encore généralisés car leur mise en œuvre reste freinée par certaines limites. Les "passkeys" sont pris en charge par de plus en plus de sites web, des centaines aujourd'hui. Apple, Google, Microsoft les ont intégré à leur système. Vous pouvez facilement configurer une "passkey" pour votre compte Google à l’adresse myaccount.google.com, par exemple. Uber, Amazon, WhatsApp ou LinkedIn proposent aussi cette option dans leurs paramètres de sécurité. Si vous faites attention, vous verrez apparaître cette option sur de nombreux sites et applications. 

Le problème avec les "passkeys", c’est que la procédure varie selon la plateforme, la navigateur et l’appareil. La connexion à Apple ne fonctionne pas de la même façon que sur un smartphone Android ou sur un compte Paypal, par exemple. Ce manque de compatibilité nuit à leur développement. Les "passkeys" ont aussi l’inconvénient d’être compliqués à synchroniser entre différents univers. Si vous configurez un "passkey" via votre compte Google, il sera conservé dans le gestionnaire de mot de passe d’Android. Idem avec iOS sur iPhone. Mais vous aurez du mal à vous connecter à votre compte Uber en utilisant votre "passkey" si vous changez de navigateur.

Comme ils sont liés à un appareil spécifique, les "passkeys" sont également difficiles à synchroniser entre les différents appareils légitimes d’une personne. Ils ont aussi l’inconvénient d’être difficiles à renouveler en cas de changement ou de perte de téléphone. Il est généralement possible de renseigner un mail ou un numéro de récupération. Mais le processus peut être plus ou moins complexe selon les plateformes. Enfin, il faut aussi faire attention à ne pas configurer de "passkeys" sur un appareil qui ne vous appartient pas car la personne pourrait accéder à votre compte sans avoir à taper de mot de passe.

Retrouvez "La règle d'or numérique", chaque dimanche, dans le flux "Ça peut vous arriver"

Retrouvez chaque semaine (l’inimitable) "Règle d’or" en podcast… et désormais son pendant Numérique consacré aux problèmes du quotidien en ligne. Comment naviguer en toute sécurité sur Internet ? Quelles sont les réglages à paramétrer pour protéger vos données personnelles ? Comment repérer les arnaques en ligne avant de tomber dans le panneau… Benjamin Hue, journaliste à RTL, répond ici aux questions que vous vous posez tous les jours sur les nouvelles technologies.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info