Simplicité d'utilisation et sécurité renforcée : les passkeys seraient la solution à tous nos problèmes de mots de passe oubliés, réutilisés, piratés. Mais derrière la promesse, les interrogations subsistent.
Les mots de passe nous compliquent la vie depuis toujours. Et même s'ils ont longtemps fait figure de solution par défaut pour protéger nos comptes, ils ne sont plus forcément les mieux indiqués pour assurer notre sécurité en ligne. Pour y remédier, des acteurs comme Apple, Google et Microsoft misent sur une alternative : les passkeys. Plus simples, plus sûres… l'idée est séduisante. Mais faut-il vraiment tourner le dos aux mots de passe ? Pas si vite. Derrière cette innovation se cachent des enjeux plus complexes qu'il n'y paraît.
Une sécurité améliorée, mais à quel prix ?
Les passkeys visent à éradiquer les points faibles des mots de passe traditionnels. En remplaçant les caractères habituels par des paires de clés cryptographiques (privées et publiques), ces clés sont totalement insensibles aux attaques par phishing et par force brute. Car oui, contrairement aux mots de passe, souvent trop simples et/ou réutilisés partout, les passkeys sont, sur le papier, infalsifiables. Lors de la connexion, seule la clé publique est partagée avec le site ou l’application, tandis que la clé privée reste bien à l’abri sur l’appareil de l’internaute. Sans accès à PC ou au mobile en question, impossible pour les hackers de mettre la main dessus, aussi chevronnés soient-ils.
Côté utilisateur, l’expérience est simplifiée. Finies les longues chaînes de caractères complexes à retenir. Avec un smartphone ou un ordinateur, l’accès aux comptes se fait via une reconnaissance biométrique (empreinte digitale, reconnaissance faciale), un simple code PIN, ou une confirmation toute bête de type « Oui/Non ». Plus rapide, plus sécurisé, plus simple. En théorie, c’est un sans-faute.
Mais… il y a un « mais ». Si cette simplicité séduit, elle cache une autre réalité : une nouvelle forme de contrôle que les géants du numérique pourraient bien exploiter à leur avantage. Et considérant la quantité d’informations qu’ils détiennent déjà sur les internautes, cette perspective n’a rien de très réjouissant.
Une dépendance aux Big Tech qui inquiète
L’un des aspects les plus controversés des clés d’accès réside dans leur lien direct avec des écosystèmes spécifiques. Apple, Google et Microsoft ont intégré cette technologie pour qu'elle repose exclusivement sur leurs propres plateformes. En activant les passkeys sur un iPhone ou un compte Google, l’internaute n’a plus d’autre choix que de passer par ces environnements pour gérer ses authentifications. Autrement dit, on déplace la confiance autrefois placée dans des mots de passe vers des entreprises privées. Est-ce vraiment mieux ? Pas si sûr.
Et si l'appareil de confiance disparaît ? La récupération de l’accès pourrait devenir un vrai casse-tête. Même si des solutions existent, elles restent complexes à mettre en œuvre, surtout lorsque l’on se retrouve soudain déconnecté de son appareil principal.
Ajoutons à cela les questions de confidentialité. Certes, les passkeys minimisent les risques d’intrusion, mais elles ne garantissent pas pour autant un contrôle total des données. Et si demain, ces informations nouvelles tombaient entre de mauvaises mains, à cause d'une fuite ou d'une exploitation commerciale excessive ? Sur ce point, l’usage de systèmes biométriques pourrait exposer davantage d’informations personnelles, malgré les promesses de protection renforcée.
Des enjeux de taille qui n’ont pas échappé à la FIDO Alliance. L’organisation vient tout juste d’annoncer qu’elle travaillait sur un projet de standardisation des protocoles et des formats pour faciliter la portabilité des clés d’accès entre gestionnaires de mots de passe et systèmes d’exploitation. Mais cette normalisation, encourageante au demeurant, ne résoudra probablement pas tous les problèmes. Parmi les participants, des fournisseurs de gestionnaires de mots de passe. Sans oublier Google et Microsoft évidemment, qui, prenons les paris, ne manqueront pas de défendre leurs intérêts sous couvert d’engagement pour la sécurité des utilisateurs et utilisatrices.
Une transition à double tranchant
Faut-il alors rejeter les passkeys ? Pas nécessairement. On ne peut contester qu’elles représentent un vrai progrès en matière de sécurité, surtout si l’on considère les faiblesses persistantes des mots de passe classiques.
Malgré tout, cette techno ne doit pas être vue comme une solution universelle. L'authentification multifactorielle (MFA ou A2F), qui combine un mot de passe avec un facteur supplémentaire comme un code SMS unique et temporaire, une application dédiée ou une clé physique, reste une alternative viable et flexible.
Il est donc peut-être prématuré de penser que les clés d’accès signeront la fin des mots de passe. En réalité, la meilleure approche pourrait être un modèle hybride, combinant plusieurs méthodes d’authentification adaptées aux besoins de chacune et chacun. Les internautes pourraient alors recourir aux passkeys tout en conservant un certain contrôle sur leurs données et leur identité numérique.
29 novembre 2024 à 08h50