5 questions sur les passkeys, ce système qui veut remplacer vos mots de passe

Serait-ce la dernière acclamation de nos mots de passe ? Depuis plusieurs mois maintenant, Apple, Google, Microsoft et d’autres géants du web tentent de réinventer l’authentification sur le web grâce à une nouvelle méthode : les passkeys (ou bonnes clés d’accès en français). Leur but est de nous aider à nous débarrasser des mots de passe et de leur terrible réputation en matière de sécurité.

L’authentification avec une combinaison classique nom d’utilisateur + mot de passe comporte de nombreux risques. Les internautes ont souvent tendance à réutiliser les mêmes mots de passe sur plusieurs sites, et ils sont rarement très sécurisés, comme le prouve année après année le classement des pires mots de passe. En conséquence, des dizaines de comptes deviennent vulnérables au piratage à la moindre fuite de données. De nombreux administrateurs ont besoin de renforcer la sécurité, mais les grandes entreprises du Web veulent désormais aller plus loin avec les clés de sécurité.

Que sont les interrupteurs à bascule ?

En termes simples, les clés d’accès sont des clés de cryptage stockées sur votre appareil (ordinateur, téléphone, tablette) qui vous permettent de vous identifier sur un site. Ces fichiers sont clairement cryptés et ne peuvent être utilisés qu’après l’authentification de l’utilisateur.

Lorsque vous vous inscrivez sur un site qui propose une authentification via des clés d’authentification, deux clés sont générées : une clé publique qui reste sur les serveurs de ce site et une clé privée stockée sur votre appareil. Lorsque vous vous reconnecterez, le site en question créera une sorte de “problème” cryptographique sur votre appareil qu’il ne pourra résoudre qu’avec sa clé privée. Pour s’assurer que c’est bien vous devant l’écran, votre machine vous demandera de vous identifier à l’aide d’un code PIN, d’une empreinte digitale ou d’une reconnaissance faciale.

Publicité, votre contenu continue ci-dessous

C’est toute l’intelligence du système. Au lieu de devoir retenir un mot de passe long et complexe, la même méthode que vous utilisez tous les jours pour déverrouiller votre téléphone devrait suffire à vous identifier. Le système d’exploitation résoudra alors le “problème” et garantira l’identification. Par conséquent, le mot de passe est perdu au profit d’une identité simplifiée (car gérée par le système d’exploitation) et sécurisée (car protégée par cryptage). Cela rend le piratage plus compliqué car la personne doit avoir accès à l’appareil et à la méthode d’authentification en question. Étant donné que chaque clé est liée à une URL spécifique, le phishing en créant de faux sites devient également presque impossible.

Lire Aussi :  Une nouvelle étude présente les meilleurs films de graphite

A noter qu’en cas d’identification par reconnaissance biométrique, l’empreinte digitale (ou visage) elle-même n’est jamais transmise à l’hébergeur du site. Le serveur ne voit que la validation effectuée par le système d’exploitation.

D’où est-ce que sa vient?

Les clés d’accès ont été développées par l’association Fido, qui est chargée de normaliser les protocoles d’identification. Derrière le terme marketing utilisé par Apple, Google et consorts, se cache en effet l’interface de programmation WebAuthn, qui permet d’établir un lien entre l’authentification opérée par le système d’exploitation et le site auquel on se connecte.

Et est-ce que ça marche sur tous les appareils ?

Les lecteurs les plus attentifs remarqueront que les clés de sécurité sont stockées localement sur une machine par défaut. C’est dommage à l’heure où l’on est autant connecté depuis son smartphone, sa tablette ou son ordinateur. Heureusement, les partisans du système ont envisagé ce scénario.

Publicité, votre contenu continue ci-dessous

Les clés de passe peuvent en effet être synchronisées sur tous les appareils du même écosystème. Chez Apple, par exemple, ils peuvent être stockés dans le trousseau iCloud, ce qui les rend automatiquement disponibles sur votre iPhone, iPad et/ou Mac. Google propose actuellement le même gestionnaire de mots de passe disponible sur Chrome et Android. Si vous essayez de vous connecter depuis une machine qui n’a pas accès à vos comptes, pas d’inquiétude à avoir : le site vous permettra de vous connecter via votre téléphone en envoyant une notification sur votre téléphone ou en lui faisant scanner un QR Code.

Lire Aussi :  1ere réunion des directeurs généraux des impôts de la CEDEAO : L’harmonisation des systèmes fiscaux au centre des débats

Malheureusement, il n’existe pas encore de moyen de synchroniser votre trousseau d’un écosystème à un autre. Par exemple, pour passer d’un iPhone à un terminal Android, vous devez utiliser votre ancien appareil pour vérifier une par une les connexions initiées par le nouveau.

De nombreux systèmes d’exploitation prennent déjà en charge les clés de sécurité. iOS 16 et macOS 13 permettent ainsi la création et la synchronisation d’un trousseau. Google a commencé à déployer la fonctionnalité sur Android et devrait la rendre disponible sur tous les appareils exécutant la version 9.0 (ou supérieure) du système d’exploitation en novembre. Sous Windows, les clés de sécurité peuvent être utilisées avec Google Chrome et Microsoft Edge. En revanche, les plateformes qui proposent une identification via des clés d’accès ne sont pas légion. Il existe des listes de sites utilisant ce nouveau protocole sur Reddit, mais il faudra probablement plusieurs mois (voire des années) pour que la méthode se généralise.

Publicité, votre contenu continue ci-dessous

Si vous avez un appareil compatible et que vous naviguez sur un site qui le propose, l’utilisation de clés de sécurité ne pourrait pas être plus simple.

Lire Aussi :  Au-delà du baratin : expliquer le 20e Congrès national du Parti communiste chinois

aller sur un site spécial (par exemple ceux de Nvidia) et n’entrez pas de mot de passe lors de la création de votre compte et ne sélectionnez pas l’option Se connecter avec un dispositif de sécurité. Ensuite, une fenêtre contextuelle apparaîtra vous demandant si vous souhaitez enregistrer une clé d’authentification (iOS) ou une clé d’accès (Android) pour l’identifiant que vous venez de saisir. Un rapide Face ID ou une analyse d’empreintes digitales créera ensuite votre compte. Lorsque vous souhaitez vous reconnecter, il vous suffit de sélectionner la même option puis de vous authentifier avec la méthode choisie.

Si vous avez déjà un compte (sur le site de Nvidia ou ailleurs), vous pouvez aller dans les options et ajouter une authentification par clés via les paramètres (si le site le propose). Le plus souvent, ce dernier est caché dans les paramètres de sécurité et s’appelle Ajouter un périphérique / périphérique de sécurité. L’OS prendra alors le relais et vous pourrez vous laisser guider.

Publicité, votre contenu continue ci-dessous

Source

Leave a Reply

Your email address will not be published.

Articles Liés

Back to top button