Passkeys : La fin des mots de passe ?

/
Illustration roulette PASSWORD avec une croix


Google, Apple, Microsoft travaillent sur la mise au point de Passkeys : une solution qui va relayer au placard nos bons vieux mots de passe ! Je vous explique tout dans cet article.

Les mots de passe sont un gros point faible de notre système d’authentification pour plusieurs raisons dont les principales sont :

  • Il faut utiliser des mots de passe longs et complexes ;
  • Il faut en avoir un différend par usage ;
  • En cas de fuite de données, un attaquant peut le retrouver par brute force.

A delà de tous ces problèmes, il y a également celui de la mémorisation de tous ces mots de passes complexes, même si des gestionnaires de mots de passe sont là pour nous y aider. Dans la vraie vie très peu de personnes les utilisent.

C’est ici qu’entre en jeu Passkeys.

Passkey, c’est quoi au juste ?

Passkeys est une solution d’authentification sans mot de passe. Elle est développée conjointement par Apple, Microsoft et Google au travers de l’alliance Fast Identity Online (FIDO).

A chaque fois que vous aurez besoin de vous authentifier sur une plateforme ou un service, il faut valider l’accès depuis un appareil vous appartenant (ordinateur, smartphone ou tablette).

C’est un fonctionnement similaire à la double authentification sauf qu’ici il n’y a plus de mot de passe. Il suffit d’avoir un de vos équipement à proximité pour autoriser l’authentification.

La proximité physique entre l’équipement et l’endroit de la demande d’authentification est vérifiée. Cela permet de s’assurer que vous êtes bien l’initiateur de la demande d’authentification.

Comment marche Passkeys ?

Passkeys repose sur le principe de chiffrement asymétrique nécessitant l’utilisation d’un couple de clé privé / clé publique qui sera unique par usage.

Les clés privées seront conservées dans un espace sécurisé dédié sur les smartphones, ordinateurs, tablettes nous appartenant.

Prenons le cas de l’utilisation d’un smartphone pour créer un nouvel accès à un site internet ou une application :

A la première utilisation, le smartphone va créer un couple de clés privés / publiques et enverra la clé publique à la plateforme distante qui la conservera.

Lors d’une nouvelle demande d’authentification, le site internet va demander au smartphone (ou l’équipement de confiance) de résoudre un « challenge » qu’il est le seul à pouvoir résoudre grâce la clé privée qu’il détient.

Côté smartphone, il voit arriver une demande d’authentification pour un site internet, après vérification de l’identité du détenteur du téléphone (par déverrouillage par exemple) et après validation de ce dernier, il va regarder dans sa base de données s’il a une clé privée correspondant à l’url qui émet la demande d’authentification, si oui, il résout le « challenge » et renvoi le résultat au site distant qui validera l’authentification si le résultat est le bon.

Les avantages de Passkeys

Avec cette méthode, cela met un coup d’arrêt net au phishing puisque si on vous conduit sur un faux site internet, une requête d’authentification envoyée à votre smartphone n’aura aucun effet car elle proviendra d’une url inconnue différente du site officiel.

La clé privée, ne circule pas lors du processus d’authentification.

Si la table des clés publiques d’un site internet venait à être dérobé, elle ne serait pas exploitable. Les demandes d’authentification doivent être initiés depuis le nom de domaine officiel du site.
En effet, le smartphone (ou un équipement de confiance) ne répondra pas aux demandes d’authentification d’un site qu’il ne connait pas.

État du projet

Passkey est fonctionnel sur la plupart des smartphones d’Apple, Google et Microsoft.

Il reste cependant quelques points à régler et pas des moindres :

La synchronisation des différents équipements

Lorsque l’on est dans le même univers, tout va bien :

Par exemple chez Apple, la synchronisation entre iPhone, Mac et iPad fonctionne grâce au trousseau de mots de passe d’iCloud.

Côté google, cela fonctionne entre Android, Chrome OS grâce à Drive.

Côté Microsoft, cela est possible avec OneDrive.

Par contre là où le bât blesse sérieusement c’est lorsque l’on a un téléphone Android et un pc sous Windows par exemple, là il n’y a pas de synchronisation possible.

Il y a encore du travail pour rendre interopérable la solution Passkeys sur ces différents systèmes d’exploitation.

La portabilité d’un système à l’autre

Si on passe d’un smartphone Android à un iPhone ou inversement, il faut transférer une à une les clés privées ce qui peut être assez fastidieux.

Ici encore il reste du travail à faire pour fluidifier ces changements d’équipements.

Comment fait-on en cas de perte du smartphone ?

Effectivement, si le seul système d’authentification que l’on possède est son smartphone, comment fait-on alors en cas de perte ou de vol ? Les clés étant détenues exclusivement sur les équipements (et pas dans le cloud) cela pose un sérieux problème. Il faudrait alors regénérer les clés en contactant un à un tous les fournisseurs de services en leur prouvant notre identité



Vous l’avez compris, ce système d’authentification n’en n’est qu’à ses débuts mais il est néanmoins très prometteur. Il reste certes des problèmes d’interopérabilité entre les différents constructeurs mais ils sont en cours de résolution.

Il y aura une période d’adaptation, le temps que tous les fournisseurs de services s’y mettent. Et de l’autre côté, le temps que les utilisateurs l’adoptent.

Et vous qu’en pensez-vous ? Cela soulève-il des interrogations ? Dites-le-moi dans les commentaires.

   

Laisser un commentaire