Les passkeys, nouvelle arme des Big Tech pour enfermer les internautes dans leurs écosystèmes ?

Par Mathieu Grumiaux, Expert maison connectée.

Publié le 09 avril 2024 à 15h24

Les passkeys révolutionnent la sécurité des utilisateurs, mais ne sont pas sans contraintes © Pexels

Si les passkeys offrent une bien meilleure sécurité par rapport aux mots de passe pour se connecter à un service, certains acteurs de la tech s'en serviraient pour contraindre les utilisateurs à rester dans leur écosystème matériel et logiciel.

Les mots de passe ont vécu, place désormais aux passkeys. Après plusieurs années de recherche et de tests, les différents acteurs majeurs de la tech se sont convertis aux passkeys, ces identifiants biométriques remplaçant les traditionnels mots de passe. Ces derniers comptent aujourd'hui pour 80 % des récupérations de données personnelles et posent de réels problèmes de sécurité. Les passkeys utilisent, quant à eux, l'identification biométrique, l'empreinte digitale ou la reconnaissance faciale, pour permettre aux utilisateurs de se connecter en toute sécurité. L'authentification est ainsi chiffrée et théoriquement infalsifiable. Si le passkey commence doucement, mais surement, à entrer dans les habitudes des internautes, certains plus petits acteurs ne voient pas d'un très bon œil la main mise des géants du web sur cette technologie, à l'instar de Proton.

Une authentification biométrique plus simple et plus sécurisée pour se connecter à ses services

L'éditeur Proton, bien connu pour ses services de VPN avec Proton VPN, ou son client Proton Mail, vient de publier une note de blog pour alerter les utilisateurs des dangers des pratiques de sociétés comme Apple ou Google avec les passkeys.

Les deux mastodontes proposent en effet dans leurs produits respectifs une authentification biométrique. Dans le cas d'Apple, il est possible de passer par iCloud Keychain, le système de gestion de mots de passe du constructeur, pour enregistrer les différentes identifications biométriques à ses propres services, comme à des plateformes tierces. Google propose le même type de fonctionnement, avec des passkeys enregistrés de manière sécurisée dans le gestionnaire de mots de passe développé par le moteur de recherche.

Proton affirme néanmoins que si le support de cette technologie par les plus grands acteurs du numérique va dans le bon sens, les deux entreprises se servent également des passkeys pour enfermer un peu plus leurs clients dans un écosystème logiciel et matériel.

Des passkeys conditionnés à un seul système d'exploitation, pour enfermer un peu plus les utilisateurs © Apple

Apple et Google pervertiraient les passkeys pour enfermer leurs utilisateurs dans leurs écosystèmes

En effet, il est bien difficile aujourd'hui de transférer ses passkeys d'une plateforme à l'autre, et de les rendre interopérables avec d'autres systèmes. Les passkeys générés par un appareil Apple sont synchronisés, via iCloud, sur l'ensemble des appareils de la marque détenus par un même utilisateur. Pour les ajouter à un appareil sous Android, les choses sont plus complexes, et nécessitent par exemple l'utilisation d'un QR code, ou la création d'un nouveau passkey réservé à Android.

Même chose avec les services de Google, qui force la main à ses utilisateurs pour les encourager à utiliser son gestionnaire de mots de passe, et éviter d'utiliser un logiciel concurrent. Aussi, il n'est pas possible d'utiliser un passkey généré dans Chrome sur un navigateur web comme Firefox.

Bien évidemment, Proton utilise ce post de blog pour vanter les mérites de Proton Pass, son gestionnaire de mots de passe interopérable avec tous les systèmes d'exploitation mobiles et de bureau, y compris avec le support des passkeys.

Toutefois, malgré sa publicité, Proton met le doigt sur un sujet important et exhorte les éditeurs les plus importants du marché à faire du passkey un équivalent de la technologie HTTPS pour la connexion au site web, adoptée aujourd'hui par l'ensemble des sites web et des éditeurs. Ainsi, les données des utilisateurs, et par extension le web, seraient bien sécurisés qu'ils ne le sont aujourd'hui, d'une manière simple et parfaitement transparente pour les utilisateurs.

Proton Pass

7 /10

Meilleurs prix

Clubic

Voir le prix

Les plus

L'application mobile, agréable à utiliser
Mode hors-ligne
Version Windows desktop
La création d'alias incluse
La sécurité
Version gratuite généreuse

Les moins

Les extensions de navigateur, à améliorer
Quelques ratés lors des inscriptions
Les changements de mots de passe ne sont pas pris en compte correctement

Lire la conclusion

Source : Proton

Par Mathieu Grumiaux

Expert maison connectée

Journaliste pour Clubic, je couvre essentiellement les sujets concernant la maison connectée et les objets connectés, mais aussi les dernières nouvelles de l'industrie du streaming vidéo, entre autres sujets. Je suis également l'actu d'Apple, marque qui m'accompagne depuis mon premier iPod mini en 2005 (ça ne nous rajeunit pas…)

Articles de Mathieu Grumiaux

Cybersécurité

Logiciels & services

Actualités mots de passe / authentification

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (7)

MisterDams

En gros, Proton précise que son propre écosystème captif est mieux que celui des GAFAM… Mais oui, il va falloir des règles d’interopérabilité des Passkeys, mais j’imagine qu’en Europe ça rentre dans les mêmes considérations que les autres sujets du DSA avec une obligation de permettre de sortir ?

IgorGone

En gros vous parlez de ce que vous ne connaissez pas et n’avez visiblement pas lu l’article.
Et lisant trois secondes la doc chez Proton, on voit que leur solution est open source et comptatible avec tous les navigateurs et systèmes d’exploitation.

Jpp59

Le passkey c’est comme yubikey pas forcément besoin d’utiliser toujours le même, possibilité de lier plusieurs passkey a son compte (et c’est d’ailleurs conseillé, ca fait des backups). Et y a pas que les géants qui risquent donc le monopole, y a bitwarden, yubikey et autre qui propose également le passkey.
By the way, une passkey n,est pas forcément biométrique, ça peu être aussi protégé avec un pin code (ce que fait yubikey)

LeChien

Je suis assez partagé.

L’interopérabilité est certes importante et il me semble que les choix de solutions ne manquent pas pour ceux qui ont ce besoin (notamment avec la possibilité de synchroniser en multi-plateforme).

Du coup, j’ai du mal à voir un réel problème dans ce que Proton raconte.

Joeee

Proton mets juste en garde sur force de frappe en terme de communication de Google et de Apple et s’accapare une bonne partie des utilisateurs sans que ces mêmes utilisateurs n’aient toutes les infos.
Et de manière générale, en informatique, il ne faut pas être bon pour avoir une grosse part de marché, il faut avoir de la visibilité, un canal de communication. Et Proton a certainement cette crainte que Apple et Google remporte la manche alors qu’ils ne sont pas forcément meilleur techniquement que lui.

L’interpolarité devrait être la règle et même obligatoire.

LeChien

Pour moi ça passe difficilement lorsque cela émane d’un juge et partie.

Sur le fond je suis d’accord.
Ça ne vient pas d’un acteur neutre sur la question, donc je suis assez critique sur la forme et sur le timing.

Joeee

Il est certain qu’il y a un parti pris pour défendre sa solution. Mais il faut regarder avec qui cela est comparé …

Et quand on fait la part des choses, c’est bien moins pire, Proton est un acteur qui a beaucoup moins d’emprise, n’est pas présent sur plein de service de la vie numérique comme Google ou Apple.
Donc bien moins pire à mon sens, donc mérite d’être écouté