https://wordpress.org/
FranceBelgique
Cybersécurité
,

Passkeys : vers la fin des mots de passe ?

Publié le 09/03/2023
Partager sur :

Les mots de passe restent de loin la méthode privilégiée pour s’authentifier à des systèmes informatiques, cependant leur utilisation peut poser de nombreux problèmes.

En effet, les mots de passe se basent uniquement sur le facteur mémoriel, ainsi une personne qui arriverait à forcer le mot de passe de l’utilisateur par bruteforce pourrait se connecter au système. Cela est d’autant plus grave que bien souvent les utilisateurs ne respectent pas le principe d’unicité du mot de passe et le réutilisent à différents endroits par simplicité ce qui les expose en cas de fuite d’une base de données.

Des solutions existent d’ores et déjà pour palier ce problème, comme l’utilisation d’un gestionnaire de mots de passe qui permet à l’utilisateur d’enregistrer de manière sécurisée une multitude de mots de passe, ou encore l’authentification multifactorielle (MFA) qui vérifie l’identité de l’utilisateur via un autre vecteur comme le facteur matériel au travers d’un jeton unique. Ces deux méthodes sont efficaces mais requièrent une action supplémentaire de l’utilisateur, ce qui réduit inévitablement leurs utilisations.

Qu’est-ce que les passkeys ?

C’est pour palier ces problèmes que Apple a dévoilé en 2021, lors de leur événement annuel WWDC, la solution nommée « passkey » qui a pour objectif d’être plus sécurisée et dans le même temps simple d’utilisation.

Cette solution principalement portée par Apple, mais également suivie par d’autres acteurs comme Google, est basée sur des certificats et consiste donc à soumettre un défi à l’appareil de l’utilisateur que seul lui peut résoudre avec sa clé privée. Il transmet ensuite la réponse au serveur qui vérifie la véracité de celle-ci et autorise l’accès si le défi a été résolu correctement.

passkeys - prouveur verifieur IAM

Cela se traduit pour l’utilisateur par une notification lui demandant de confirmer la tentative de connexion, l’appareil utilisé est ensuite chargé de confirmer l’identité de l’utilisateur, cela peut passer par une empreinte digitale pour un appareil Android ou l’utilisation de FaceID pour un iPhone.

Dans la continuité des travaux de l’alliance FIDO

La démarche des passkeys s’inscrit dans les objectifs de l’alliance FIDO (Fast IDentity Online) qui souhaite apporter une authentification plus simple et sûre.

Quel est l’apport du Telecom Expense Management dans l’IoT ?
Trending
Quel est l’apport du Telecom Expense Management dans l’IoT ?

L’alliance FIDO est une association industrielle ouverte qui regroupe différents acteurs connus tels que Google, Amazon, Microsoft, mais également Apple. La solution passkey proposée par Apple va justement dans ce sens en intégrant les standards de cette alliance.

Cette alliance a déjà mené à la création de solutions de sécurité comme les Yubikey qui agissent comme un facteur de double authentification physique, sous la forme de clé que l’utilisateur conserve. Cette solution est cependant contraignante pour l’utilisateur qui doit alors en faire l’acquisition et l’avoir sur soi en permanence.

Les multiples intérêts des passkeys

  • Simplicité d’utilisation : Le premier point, et peut être le plus important de cette solution est la facilité avec laquelle il est possible pour un utilisateur de l’utiliser. Dans la très grande majorité des cas une mesure de sécurité vient perturber l’expérience utilisateur, cette solution permet au contraire de simplifier le processus de connexion et, par conséquent, favorise l’adoption de cette mesure par les utilisateurs.

  • Standards connus : En faisant le choix d’un format de données ouvert, la collaboration entre les différents acteurs de la Tech devrait en théorie être facilitée et permettre une meilleure adoption plus large sur les sites. De plus, les passkeys agissent comment une implémentation logicielle des Yubikey, facilitant de fait l’intégration de cette solution de sécurité sur les sites proposant déjà des connexions grâce à une Yubikey.

  • Sécurité uniformisée : La simplicité d’utilisation de la solution entraine une uniformisation du niveau de sécurité des individus ; en effet l’utilisation d’un mot de passe sécurisé couplé à une solution de double authentification permet de garantir un niveau de sécurité optimal. Cependant, peu d’utilisateurs appliquent correctement ces mesures.  Les passkeys permettent donc d’obtenir un niveau de sécurité similaire à un mot de passe sécurisé et à une double authentification de manière plus accessible.

  • Phishing : Lors de la création des passkeys, l’identité du site web est également enregistrée. De cette manière, l’authenticité du site web auquel l’utilisateur tente de se connecter est alors vérifiée durant la connexion. Ainsi la solution passkey permet de protéger les utilisateurs contre des tentatives d’hameçonnage (phishing) encore très courantes et efficaces aujourd’hui.

Mais quelques risques potentiels

  • Synchronisation difficile : Bien qu’il soit possible de transférer les passkeys manuellement, leur synchronisation automatique est pour l’instant impossible ; cela peut donc contrevenir au principe de simplicité souhaité par l’alliance FIDO, et ainsi freiner leur adoption pour le grand publique.

  • Une adoption tributaire des mises à jour : La solution est désormais présente dans les nouvelles versions d’IOS et d’Android. Il y a cependant encore peu de sites qui proposent cette méthode de connexion et le taux d’adoption dépendra de l’intégration sur les sites qui pourra être plus ou moins longue en fonction de l’engouement des utilisateurs. Le taux d’adoption dépendra également des mises à jour des smartphones alors que sur Android seuls 13% des smartphones disposent de la version 12 qui date de plus d’un an.

  • Mises à jour de sécurité : Il est également important pour les éditeurs d’assurer des mises à jour de sécurité dans la durée, ce que tente d’imposer la Commission européenne avec une directive qui imposerait 5 ans de mises à jour de sécurité pour l’ensemble des téléphones.

  • Point de défaillance unique : Malgré les avantages que semblent apporter les passkeys il est important de préciser qu’aucune solution de sécurité n’est infaillible et des risques inhérents à cette solution peuvent apparaître. En effet, en plaçant le téléphone de l’utilisateur comme la clé de voute de sa sécurité cela créé également un point de défaillance unique, et pourrait avoir comme conséquence le renforcement des attaques ciblant les utilisateurs mobiles, pourtant déjà nombreuses.

En conclusion

Les passkeys semblent donc être une amélioration non-négligeable pour la sécurité des utilisateurs. Ils proposent notamment aux plus novices une solution qui sera simple d’utilisation et permettra donc de lui garantir un niveau de sécurité minimum, tout en le protégeant contre des tentatives de phishing. De plus, l’utilisation de standards connus et ouverts permettra probablement une adoption plus simple par les sites et applications qui souhaiteraient le déployer. 

Cependant, en faisant du téléphone de l’utilisateur la clé de voute de sa sécurité, elle peut également constituer un point de défaillance unique. Elle pourrait ainsi poser problème sur la confidentialité des données, ou leur disponibilité en cas de perte du téléphone. Cette solution pourra donc permettre au grand public d’assurer une meilleure sécurité globale sur ses appareils mais doit encore faire ses preuves pour se démocratiser et prétendre remplacer entièrement les mots de passe qui peuvent présenter des avantages de sécurité lorsqu’ils sont correctement utilisés.

Écrit par Romain Felgines.

Derniers articles

Catégories

Veuillez saisir votre adresse email pour vous abonner. Envoyer