Le groupe FIDO a dévoilé une alternative d’authentification plus efficace que les mots de passe. Les passkeys offre une protection infaillible des données. Pour faciliter leur utilisation, ces clés de sécurité sont regroupées dans les terminaux qui sont au nom de l’utilisateur. Par exemple, chaque appareil avec le compte Google ou Apple de l’usager.
Fast Identity Online (FIDO), le consortium regroupant les grandes sociétés de la tech, a développé les passkeys . Ce sont des clés de sécurité basées sur la cryptographie qui remplaceront les mots de passe. Cette solution contre les campagnes de phishing et les oublis présente l’avantage du cryptage cloud, ce qui le rend accessible à un large public.
Actuellement, groupe expert informatique et entreprise essayent d’adopter cette technologie. Parmi les plus intéressés figurent notamment des gestionnaires de mots de passe comme Lastpass, 1Password, Dashlane et Bitwarden. Les géants comme Google, Microsoft et Apple se sont également lancés dans le développement de passkeys pour leurs produits.
Une alternative plus efficace
Les utilisateurs ont tendance à utiliser des mots de passe facilement déchiffrables, ce qui rend leurs données vulnérables au piratage. Ils font également l’erreur de choisir le même mot de passe pour plusieurs sites par peur de l’oubli. Il arrive aussi que l’hameçonnage permette à des pirates d’obtenir des mots de passe en utilisant des faux formulaires et des SMS . D’autre part, certains sites font l’erreur d’archiver les données de leurs visiteurs, facilitant la tâche aux cybercriminels. En somme, malgré les progrès technologiques, les mots de passe présenteraient une faille de sécurité .
De leur côté, les passkeys offrent plusieurs garanties de sécurité. Premièrement, elles sont créées pour être inviolables. En effet, les passkeys sont cryptés et uniques pour chaque site et usager . Ensuite, ces clés de sécurité n’ont pas besoin d’être mémorisées car elles sont stockées sur les appareils regroupés sur le même compte Google ou Cloud. Les passkeys fonctionnent ainsi par synchronisation des codes d’un terminal à l’autre. Pour prévenir les éventuelles fuites de données du stockage en ligne, les passkeys ne sont pas hébergés sur des serveurs . Pour accéder aux informations, les pirates devraient s’en prendre à chaque appareil. La tâche serait trop fastidieuse s’ils avaient l’intention de cibler de nombreux utilisateurs.
Une solution adoptée par plusieurs
Pour faire simple, le principe des passkeys consiste à demander au smartphone de créer deux clés, publique et privée . En s’inscrivant à un site, l’utilisateur se sert de son terminal (ordinateur, smartphone ou tablette) pour définir ces clés. Ensuite, la clé publique sera visible par le site et celle qui est privée sera enregistrée sur l’appareil.
Lors de la sortie du logiciel central iOS 16 et le Mac OS Ventura, Apple annonce son ouverture aux passkeys . Le 12 septembre 2022, la marque à la pomme a annoncé la possibilité d’échanges de ces clés de sécurité dans l’écosystème iCloud. De son côté, Microsoft ambitionne d’intégrer la totalité des fonctionnalités des passkeys . Tandis que Windows s’est engagé à échanger ces clés de sécurités avec l’iOS.
Par ailleurs, Google met à disposition de ses usagers des passkeys . Pour le moment, la technologie s’adresse surtout aux les développeurs . Pourtant, le géant informatique ne souhaite pas supprimer les mots de passe de ses applications.
Srinivasan Sampath, responsable de projets de sécurité informatique chez Google, explique leurs intentions :
[…] plus les usagers utiliseront leurs passkeys en priorité pour s’identifier, plus les mots de passe seront réservés à des cas rares, éveillant systématiquement l’attention des gestionnaires de services.
Srinivasan Sampath
Bien qu’elle soit encore en pleine croissance, la technologie du cryptage asymétrique était déjà présente dans la cybersécurité. En effet, il est possible de retrouver cette technique dans le cryptage de bout en bout des conversations Signal et WhatsApp .