Les passkeys, une aubaine pour la sécurité ou un désastre pour l’utilisateur ?

Par Chloé Claessens, Spécialiste cybersécurité.

Publié le 21 octobre 2024 à 18h21

Simplicité d'utilisation et sécurité renforcée : les passkeys seraient la solution à tous nos problèmes de mots de passe oubliés, réutilisés, piratés. Mais derrière la promesse, les interrogations subsistent.

Les passkeys, une aubaine pour la sécurité ou un désastre pour l’utilisateur ? © ArtemisDiana / Shutterstock

Les mots de passe nous compliquent la vie depuis toujours. Et même s'ils ont longtemps fait figure de solution par défaut pour protéger nos comptes, ils ne sont plus forcément les mieux indiqués pour assurer notre sécurité en ligne. Pour y remédier, des acteurs comme Apple, Google et Microsoft misent sur une alternative : les passkeys. Plus simples, plus sûres… l'idée est séduisante. Mais faut-il vraiment tourner le dos aux mots de passe ? Pas si vite. Derrière cette innovation se cachent des enjeux plus complexes qu'il n'y paraît.

Une sécurité améliorée, mais à quel prix ?

Les passkeys visent à éradiquer les points faibles des mots de passe traditionnels. En remplaçant les caractères habituels par des paires de clés cryptographiques (privées et publiques), ces clés sont totalement insensibles aux attaques par phishing et par force brute. Car oui, contrairement aux mots de passe, souvent trop simples et/ou réutilisés partout, les passkeys sont, sur le papier, infalsifiables. Lors de la connexion, seule la clé publique est partagée avec le site ou l’application, tandis que la clé privée reste bien à l’abri sur l’appareil de l’internaute. Sans accès à PC ou au mobile en question, impossible pour les hackers de mettre la main dessus, aussi chevronnés soient-ils.

Côté utilisateur, l’expérience est simplifiée. Finies les longues chaînes de caractères complexes à retenir. Avec un smartphone ou un ordinateur, l’accès aux comptes se fait via une reconnaissance biométrique (empreinte digitale, reconnaissance faciale), un simple code PIN, ou une confirmation toute bête de type « Oui/Non ». Plus rapide, plus sécurisé, plus simple. En théorie, c’est un sans-faute.

Les passkeys sont plus sécurisées que les mots de passe grâce à l'utilisation de la reconnaissance biométrique, notamment © khunkornStudio / Shutterstock

Mais… il y a un « mais ». Si cette simplicité séduit, elle cache une autre réalité : une nouvelle forme de contrôle que les géants du numérique pourraient bien exploiter à leur avantage. Et considérant la quantité d’informations qu’ils détiennent déjà sur les internautes, cette perspective n’a rien de très réjouissant.

Une dépendance aux Big Tech qui inquiète

L’un des aspects les plus controversés des clés d’accès réside dans leur lien direct avec des écosystèmes spécifiques. Apple, Google et Microsoft ont intégré cette technologie pour qu'elle repose exclusivement sur leurs propres plateformes. En activant les passkeys sur un iPhone ou un compte Google, l’internaute n’a plus d’autre choix que de passer par ces environnements pour gérer ses authentifications. Autrement dit, on déplace la confiance autrefois placée dans des mots de passe vers des entreprises privées. Est-ce vraiment mieux ? Pas si sûr.

Et si l'appareil de confiance disparaît ? La récupération de l’accès pourrait devenir un vrai casse-tête. Même si des solutions existent, elles restent complexes à mettre en œuvre, surtout lorsque l’on se retrouve soudain déconnecté de son appareil principal.

L'un des enjeux soulevés par les passkeys réside dans leur interopérabilité inexistante... pour le moment © Primakov / Shutterstock

Ajoutons à cela les questions de confidentialité. Certes, les passkeys minimisent les risques d’intrusion, mais elles ne garantissent pas pour autant un contrôle total des données. Et si demain, ces informations nouvelles tombaient entre de mauvaises mains, à cause d'une fuite ou d'une exploitation commerciale excessive ? Sur ce point, l’usage de systèmes biométriques pourrait exposer davantage d’informations personnelles, malgré les promesses de protection renforcée.

Des enjeux de taille qui n’ont pas échappé à la FIDO Alliance. L’organisation vient tout juste d’annoncer qu’elle travaillait sur un projet de standardisation des protocoles et des formats pour faciliter la portabilité des clés d’accès entre gestionnaires de mots de passe et systèmes d’exploitation. Mais cette normalisation, encourageante au demeurant, ne résoudra probablement pas tous les problèmes. Parmi les participants, des fournisseurs de gestionnaires de mots de passe. Sans oublier Google et Microsoft évidemment, qui, prenons les paris, ne manqueront pas de défendre leurs intérêts sous couvert d’engagement pour la sécurité des utilisateurs et utilisatrices.

Une transition à double tranchant

Faut-il alors rejeter les passkeys ? Pas nécessairement. On ne peut contester qu’elles représentent un vrai progrès en matière de sécurité, surtout si l’on considère les faiblesses persistantes des mots de passe classiques.

L'authentification à deux facteurs, ou multifactorielle, reste une solution d'identification sécurisée, sans concentration des données aux mains d'une seule entreprise © BestForBest / Shutterstock

Malgré tout, cette techno ne doit pas être vue comme une solution universelle. L'authentification multifactorielle (MFA ou A2F), qui combine un mot de passe avec un facteur supplémentaire comme un code SMS unique et temporaire, une application dédiée ou une clé physique, reste une alternative viable et flexible.

Il est donc peut-être prématuré de penser que les clés d’accès signeront la fin des mots de passe. En réalité, la meilleure approche pourrait être un modèle hybride, combinant plusieurs méthodes d’authentification adaptées aux besoins de chacune et chacun. Les internautes pourraient alors recourir aux passkeys tout en conservant un certain contrôle sur leurs données et leur identité numérique.

À découvrir

Meilleur gestionnaire de mots de passe, le comparatif en 2024

11 octobre 2024 à 15h46

Comparatifs services

Par Chloé Claessens

Spécialiste cybersécurité

Débarquée chez Clubic en 2020 pour parler logiciels, applications et systèmes d’exploitation, je me suis peu à peu spécialisée dans le domaine de la cybersécurité. J’écris essentiellement sur les VPN, mais je couvre aussi les sujets liés à la sécurité des systèmes et des réseaux.

Articles de Chloé Claessens

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

Fathzer

Merci pour cet article très intéressant et clair.

Werehog

Honnêtement, une passkey sur un seul appareil, c’est comme un mot de passe avec un seul appareil pour la MFA. Il arrive un truc à l’appareil : on est foutu !
Plusieurs passkey sur plusieurs appareils, c’est comme un mot de passe avec plusieurs appareils pour la MFA, c’est plus sûr. Mais tous les sites ne le supportent pas. Donc les passkeys ne changent pas grand chose pour la fiabilité en fait.

Aegis

Merci pour l’article, c’est un sujet important. Faut-il passer aux passkeys? Oui, sans hésiter. Les avantages sont infiniment plus important que les inconvénients.
Des précisions sur les sujets abordés dans l’article:

enfermer dans un écosystème. C’est un problème de gestionnaire de mots de passe, pas de la technologie en elle même. A mon avis c’est un problème lié a la jeunesse de la techno. Les Google, Microsoft et autre on tout intérêt à proposer des gestionnaires multi plateforme. Ne serait-ce que pour la visibilité que cela donne sur les ressources.
déplacement de la confiance des mots de passe vers des entreprises privées: faux problème. Dès qu’on utilise un service, on fait confiance au service. Le mot de passe ne protège en rien contre le fournisseur.
appareil de confiance qui disparaît: scénario identique à l’oubli du mot de passe principal. Rien de nouveau ou plus compliqué
données biométriques qui tombent dans de mauvaises mains: non. Les données biométriques restent locales à l’appareil. En aucun cas le fournisseur de service ne les voit. C’est aussi un scénario connu depuis des années avec Windows hello, les puces tpm, Apple face recognition etc.
Microsoft, Google et autre participant au standard avec Fido alliance: heureusement, sinon ils ne seraient pas compatibles il ne faut pas y voir des intentions maléfiques, ils veulent l’apparition d’un standard.
Mfa: ce n’est pas exclusif. La plupart des passkeys sont protégés par mfa implémenté dans le gestionnaire ou dans l’accès à l’appareil de confiance
contrôle des données: c’est un autre sujet. Passkey traitent de l’authentification. Les données auxquelles on accède sont déjà chez le fournisseur de service. Soit on lui fait confiance, soit non, mais passkey ou mots de passe ne changent rien.

Passez sans hésitation aux passkeys. Les avantages sont incontestables.

Ils ne sont pas inviolables mais sont beaucoup beaucoup plus sur.

Pour être exhaustif, les passkeys ne protègent pas des attaques pass the hash ou pass the token qui interviennent après l’authentification. Ils créent aussi de nouveau scénarios de phishing pour essayer de forcer l’utilisateur à accepter une requête dans son gestionnaire de mot de passe, sans savoir à quoi elle correspond. Mais encore une fois, le risque est bien plus faible.

max6

je vous dirais quand même:
enfermé dans un système que ce soit un problème de gestionnaire de mot de pas ne change rien au fait qu’on est enfermé dans un système alors tant que ce sera le cas pour moi le passkey n’est pas envisageable.
Le mot de passe ne protège en rien contre le fournisseur au singulier mais là on parle bien de mettre tous les passkey chez le même fournisseur donc en cas de problème c’est tout nos « fournisseurs » qui sont concerné d’un seul coup ce ne me semble être la même échelle ne vous en déplaise.
appareil de confiance qui disparait ne me semble pas être du tout la même chose que l’oubli du mot de passe principal, il existe bien des manière de « sauvegarder » mot de passe principal y compris un papier et un crayon aussi long soit-il et un papier c’est facile à planquer. Je ne crois pas que je puisse recopier l’appareil de confiance sur une feuille de papier.
J’aimerais bien être aussi certain que vous que mes données biométrique ne « tomberons » jamais entre de mauvaises main cependant on a déjà par le passé eu des surprises étonnantes à ce sujet…
Je ne vois en quoi les passkey qui aujourd’hui sont non interopérable seraient plus fiables qu’un gestionnaire de mot de passe local avec une base de donnée cryptée (le mot de passe maitre n’étant sur aucun réseau et changé régulièrement) éventuellement sauvegardée sur un cloud de confiance (soit dit en passant payant hébergé par contrat dans un pays qui protège ces données) lui aussi chiffré et protégé par un mot de passe le tout évidement en utilisant systématiquement la MFA sur un appareil différent.

Pernel

De mon côté, toujours sur le bon vieux Keypass, pas de risque de fuite de donnée d’une société, etc. Un poil moins rapide qu’un soft synchro, mais c’est le coup de quelques secondes, c’est pas la mort.