Mise en lumière en 2022 par Apple, la technologie des Passkeys a pour but de rendre les mots de passe obsolètes. Aujourd'hui employée par de nombreux services comme TikTok ou Google, que sont les Passkeys ? S'agit-il d'une solution suffisamment sécurisée ?
Le mot de passe fait incontestablement partie du patrimoine d'internet. Dès que l'on se crée un compte sur une nouvelle plateforme, ou que l'on souhaite préserver l'accès à nos informations et données privées, le mot de passe a toujours été la forme de défense privilégiée. Cependant, il ne s'agit pas nécessairement de la solution la plus sécurisée : la simple divulgation du mot de passe par erreur, par mégarde ou à cause d'un piratage quelconque rend la mécanique complètement caduque. Sans compter qu'il ne s'agit pas non plus de la solution la plus pratique : elle implique de devoir de souvenir de nombreux mots de passe différents (et compliqués, pour plus de sécurité) en fonction des services auxquels l'utilisateur souhaite accéder, ce qui peut s'avérer éreintant après l'inscription à plus de 20 services différents. Dans ce cas, l'emploi d'un gestionnaire de mots de passe peut s'avérer salvateur, mais peut-on réellement affirmer qu'il s'agit de la méthode la plus pratique et sécurisée dans le domaine ?
Cela fait maintenant des années que de nombreuses firmes primordiales du numérique s'intéressent à la question, en réfléchissant en parallèle à de potentielles alternatives aux mots de passe, alternatives qui ne nécessiteraient pas de bénéficier d'une mémoire d'éléphant ou d'un service tiers pour sécuriser ces derniers. Les Passkeys sont sans aucun doute l'une des solutions les plus prometteuses dans le domaine : elles impliquent un chiffrement asymétrique sécurisé et une mécanique de connexion beaucoup plus pratique pour tous les utilisateurs.
Passkeys, qu'est-ce que c'est ?
Les Passkeys sont poussés par l'alliance FIDO (Fast IDentity Online). Fondée en 2013, sa mission est de développer des normes d'authentification permettant de réduire la dépendance des mots de passe. Parmi les membres de l'alliance les plus proéminents, on compte notamment Google, Microsoft, Apple, mais aussi Amazon, Samsung, Intel ou Meta (Facebook). Autrement dit, il s'agit d'une nouvelle norme de sécurité de compte largement poussée par les plus grands acteurs du numérique, basée sur le standard WebAuthn adopté par un grand nombre de navigateurs web.
Concrètement, une Passkey est une clé d'accès contenant des données chiffrées, dont le but est de prouver que vous êtes bel et bien le propriétaire d'un compte sur le web. L'idée est simple : associer un appareil protégé par ce processus via une défense que seul l'utilisateur peut déverrouiller. La Passkey peut par exemple être liée à un mécanisme de défense complémentaire : il peut s'agir de biométrie (empreinte digitale, reconnaissance faciale), d'un code PIN ou même d'un schéma à reproduire sur l'écran tactile. Ainsi, non seulement la Passkey bénéficie du chiffrement de bout en bout, elle peut également être associée à un protocole de sécurité supplémentaire grâce à la biométrie présente sur la majorité des smartphones et tablettes actuels et certains ordinateurs portables.
Pour rentrer dans les détails, une passkey est en réalité d'une double-clé (une clé publique associée à un site web ou une application et une clé privée stockée sur l'appareil où elle a été créée), synchronisée à tous les appareils liés par le même compte au sein d'un seul et même écosystème. L'idée est de fournir une synchronisation chiffrée de bout en bout, pour simplifier les connexions des utilisateurs tout en leur offrant une sécurité maximale. Une passkey doit ainsi faire le lien entre un appareil possédé par une personne (un smartphone, un ordinateur, une tablette sur lesquels sont stockés la clé privée) et un service ou une plateforme (clé publique), en remplaçant directement le mot de passe.
Quels sont les avantages des Passkeys par rapport aux mots de passe ?
Le principal inconvénient des mots de passe est assez évident : il faut s'en souvenir. Si l'on considère en plus le fait qu'il est souvent nécessaire de proposer des mots de passe compliqués (avec des signes, des majuscules, des chiffres, etc), et différents à chaque nouvelle inscription, il devient quasiment impossible de se rappeler tous les garder dans un coin de la tête. Dans ce cas, des gestionnaires de mots de passe peuvent s'avérer utiles, mais ils ne permettent pas de contrer l'une des principales faiblesses de ce système : les mots de passe peuvent être volés, et les risques de piratage et de hameçonnage restent alors très élevés.
Les Passkeys ont pour avantage principal d'ajouter une nouvelle couche de sécurité, tout en offrant à leur utilisateur la liberté d'esprit de ne pas avoir à se souvenir de 30 mots de passe différents. Ainsi, ces codes d'identification sont stockés exclusivement sur un appareil appartenant à l'individu en question (lorsqu'on les connecte au même compte chez Google, Microsoft ou Apple). Ces codes peuvent être synchronisés d'un appareil à l'autre ce qui simplifie par ailleurs le transfert d'informations lorsque l'on change de smartphone par exemple. En somme, les passkeys intègrent à la fois les avantages d'un mot de passe et d'un gestionnaire de mot de passe, le tout sans avoir à employer de mot de passe maître.
Par ailleurs, côté sécurité, une passkey s'avère particulièrement robuste : la cryptographie asymétrique permet à la fois la confidentialité des messages reçus et l'authentification de l'expéditeur d'un message, un mécanisme utilisé par la signature numérique par exemple. Autrement dit, chaque clé est longue, solide, unique et impossible à deviner, ce qui la rend beaucoup plus sécurisée qu'un mot de passe classique. Les passkeys offrent par ailleurs deux autres avantages de taille : elles empêchent les fuites de données, puisqu'aucun serveur n'héberge les clés privées, et contrent le phishing. En effet, sans mot de passe, il n'y a désormais plus de cible à hameçonner, puisque les codes d'accès sont directement liés à l'application ou au site sur lequel ils ont été créés. L'emploi des passkeys à grande échelle pourrait ainsi complètement éradiquer ce fléau du web.
Passkeys : quelles limitations ?
Le principal obstacle sur le chemin de la popularisation des passkeys réside dans la difficulté potentielle d'effectuer simplement un changement d'appareil. Ainsi, puisque la partie privée de la clé est stockée localement sur un smartphone, un pc ou une tablette, alors son transfert sur un autre appareil peut s'avérer compliqué. Heureusement, il est possible de synchroniser des clés d'accès lorsque l'on reste au sein du même écosystème, en passant par le trousseau d'iCloud par exemple. En revanche, lorsqu'il s'agit de passer d'un appareil Android à un iPhone par exemple, la transition risque d'être difficile, puisqu'il n'existe pas à l'heure actuelle de solution native efficace et simple pour que les passkeys générés depuis un PC Windows soient transférées vers un appareil Android par exemple.
Actuellement, une procédure manuelle a été mise en place afin de permettre une telle démarche, mais elle s'avère particulièrement rébarbative et ennuyeuse à effectuer. Nul doute que dans le domaine, les passkeys devront s'améliorer pour se démocratiser encore plus, même si les limitations restent relativement mineures si l'on possède de nombreux appareils issus d'un même écosystème.
Côté sécurité, les clés de passe ne sont pas infaillibles, même si elles opèrent un changement largement supérieur au système de mots de passe actuel. Il n'existe en effet jamais réellement de solution parfaite dans le domaine de la sécurité, mais avec les passkeys, il sera désormais nécessaire pour les pirates d'infiltrer un appareil directement pour obtenir la clé privée, ce qui s'avère beaucoup plus difficile que la récupération d'un mot de passe. Dans l'ensemble, il ne s'agit donc pas de la solution parfaite, mais d'une nette amélioration par rapport au système de mots de passe.
Malgré tout, certains enjeux sont encore restés sans réponse : comment peut-on synchroniser des clés entre les appareils d'une même personne s'ils ne bénéficient pas du même écosystème ? Comment changer une passkey pour obtenir un nouveau code ? Ces questions devraient bénéficier d'une réponse claire dans les prochains mois, mais le stade balbutiant de la technologie peut potentiellement freiner de nombreux utilisateurs lambda, il est donc important de la part des membres de l'alliance FIDO d'offrir un message clair quant à cette nouvelle méthode d'authentification, qui risque de bousculer les habitudes.
Apple, Google, TikTok… De plus en plus d'acteurs majeurs se lancent dans la technologie Passkeys
Apple, l'initiateur
Le premier acteur d'envergure à se lancer dans les Passkeys est Apple. Le membre de l'alliance FIDO a introduit la technologie en 2022 sur ses systèmes d'exploitation iOS, MacOS et iPadOS. Cette première démonstration a été largement scrutée par les concurrents, et a dans l'ensemble globalement démontré les principaux avantages de la technologie, témoignant d'une viabilité réelle du système.
Ainsi, lors de sa keynote à la WWDC 2022, Apple a posé les bases du service, en le liant directement à Touch ID et Face ID comme liens d'accès. Lorsqu'un utilisateur emploie une application ou un site web qui prend en charge les clés Apple Passkeys, il est donc désormais possible de se connecter à ces plateformes en utilisant simplement la reconnaissance faciale ou digitale. Par ailleurs, les passkeys peuvent être sauvegardées dans le trousseau iCloud, et fonctionnent directement avec un chiffrement de bout en bout sur Mac, iPhone, iPad et Apple TV.
Avec ce premier coup d'essai, Apple a lancé la tendance auprès des autres acteurs majeurs du numérique, certains desquels n'ont pas tardé à rejoindre le train en route comme Google.
Google entre dans la danse
Après Apple, Google annonce la prise en charge des passkeys en 2022 pour les appareils sous Android. Ainsi, il est désormais possible de se créer une passkey en passant par le site myaccount.google.com, en se rendant sur l'onglet "Sécurité", puis sur la section "Clés d'accès" accessible sous l'onglet "Comment vous connecter à Google". Puis, en suivant les étapes mentionnées par Google, il devient désormais possible d'activer des passkeys en tant que couche supplémentaire de sécurité sur le compte Google.
Microsoft pas en reste
Microsoft se lance dans les passkeys par plusieurs fronts : d'abord via Github, qui a lancé la connexion sans mot de passe (et par clé d'accès) dès juin 2023, avec un retour globalement positif. Par ailleurs, au cours du même mois, Microsoft a introduit dans la dernière version de Windows 11 (Insider Preview Build) l'identification sans mot de passe, permettant aux utilisateurs de se connecter à leurs comptes par l'utilisation de passkeys et de Windows Hello. Autrement dit, Apple, Google et Microsoft ont désormais tous mis le pied dans l'étrier de cette technologie, il n'est plus qu'une question de temps avec qu'elle ne devienne la norme un peu partout.
TikTok, le dernier acteur en date
Le réseau social du divertissement vidéo TikTok a suivi l'impulsion de Google en juillet 2023 : d'abord sur iOS, et seulement dans quelques territoires (Asie, Australie, Afrique et Amérique du Sud), il est désormais possible d'employer des clés d'accès ou passkeys pour se connecter à TikTok. Pour les utilisateurs Android et dans le reste du monde, il faut encore patienter avant de pouvoir accéder à ce service d'authentification. Il est par ailleurs important de noter que, pour l'occasion, Tiktok a rejoint l'alliance FIDO, rejoignant ainsi Apple, Microsoft ou Google dans le domaine.
Passkey : une alternative qui a de l'avenir ?
Face aux mécaniques de plus en plus contestées des mots de passe, qu'il s'agisse de leur sécurité parfois douteuse ou de leur manque de praticité, la promesse des Passkeys s'avère particulièrement intéressante pour quiconque possède de nombreux comptes en ligne. Mais, comme pour toute nouveauté d'envergure dans le monde numérique, un projet de cette ampleur ne peut être véritablement efficace et accepté par le plus grand nombre s'il n'est pas adoubé par les grands noms d'internet. Ainsi, si l'on considère l'intérêt indéniable porté par des acteurs tels qu'Amazon, Facebook (Meta), Google, Apple, Microsoft, Netflix, Paypal, Qualcomm, Visa ou Samsung, nul doute que les passkeys devraient s'imposer à l'avenir. Reste à savoir si les mots de passe sont amenés à survivre à cette implémentation, ou si les passkeys s'imposeront comme la norme de sécurité dans le cadre d'une authentification sur une plateforme.
Il y a encore quelques mois, seuls les appareils Apple étaient concernés par cette technologie. Désormais, avec la prise en charge de la technologie par Google, il est également possible d'employer des clés de passe sur Android également (à condition de posséder une version d'Android supérieure à 9.0). Autrement dit, l'implémentation de la technologie à grande échelle a déjà débuté, et les chances pour qu'il s'agisse du nouveau standard dans les années à venir sont désormais assez énormes.
Cependant, les mots de passe ont encore de beaux jours devant eux : une longue période de transition devrait prendre place pour plusieurs raisons. D'abord, il faut laisser le temps aux utilisateurs de se faire à l'idée et de constater par eux-mêmes les avantages et inconvénients du système. Par ailleurs, les services web et applications vont également devoir s'adapter à cette nouvelle solution et revoir complètement leur processus d'authentification, ce qui peut prendre un certain temps. Si dans l'ensemble, les passkeys s'avèrent être une alternative plus rapide, pratique et sécurisée aux mots de passe, il va cependant falloir prendre son mal en patience pour les voir dominer le monde numérique.