Google, Apple, Microsoft et d'autres géants de la tech commencent à proposer une technologie plus sécurisée que les mots de passe, les passkeys. Voici tout ce qu'il faut savoir.

Avec iOS 16 et les iPhone 14, vous pouvez tester une nouvelle technologie d’authentification baptisée passkeys. Une technologie qu’Apple, Google et Microsoft estime être supérieure aux mots de passe. Les passkeys sont plus sécurisées que les mots de passe pour préserver les accès à vos sites, services d’email et autres, mais restent suffisamment simples pour se démocratiser.

Apple avait fait une démonstration de ces passkeys durant sa Worldwide Developers Conference en juin dernier. Déjà disponibles sur iOS 16, ils le seront sur macOS Ventura à l’automne et arriveront aussi bientôt sur Google Android et Chrome.

Les passkeys remplacent les saisies clavier des mots de passe avec une vérification biométrique sur le téléphone ou l’ordinateur. Cela permet aussi d’éviter les phishing et la complexité de l’authentification double facteur.

Une fois que vous avez défini une passkey pour un site ou une app, celle-ci est stockée sur l’appareil. Des services comme le trousseau iCloud d’Apple ou le gestionnaire de mots de passe de Google Chrome peuvent les synchroniser sur tous vos appareils.

Qu’est-ce qu’une passkey ?

C’est un nouveau type d’authentification qui consiste en quelques données numériques utilisées par votre PC ou téléphone lorsque vous vous connectez sur un serveur. Vous pouvez approuver chaque utilisation de ces données avec une étape d’authentification, comme une vérification d’empreinte, la reconnaissance faciale, un code PIN ou le schéma traditionnel.

Mais il vous faut avoir avec vous le téléphone ou l’ordinateur pour utiliser les passkeys. Vous ne pouvez pas vous identifier sur un compte protégé par passkey sur l’appareil d’un ami, par exemple.

Les passkeys sont synchronisés et sauvegardés. Si vous avez un nouveau téléphone Android ou iPhone, Google et Apple peuvent restaurer vos passkeys. Avec le chiffrement de bout en bout, Google et Apple ne peuvent voir ou modifier vos passkeys.

C’est très simple. Utilisez votre empreinte digitale, votre visage ou un autre mécanisme pour authentifier une passkey lorsqu’un site ou une app vous demande d’en configurer une. C’est tout.

Sur smartphone, l’option d’authentification via passkey apparaît lorsque vous tentez de vous connecter sur une app. Tapotez sur cette option, utilisez la technique d’authentification choisie et le tour est joué.

Pour les sites web, vous devriez voir une option passkey sur le champ nom d’utilisateur. Le processus est ensuite similaire.

Une fois votre passkey sur votre téléphone, vous pouvez l’utiliser pour simplifier la connexion sur un autre appareil à proximité, comme votre ordinateur. Une fois connecté(e), ce site peut vous proposer de créer une nouvelle passkey liée à ce nouvel appareil.

Et si j’ai besoin de me connecter via l’appareil de quelqu’un d’autre ?

Vous pouvez utiliser une passkey stockée sur votre téléphone pour vous connecter sur un appareil à proximité, comme un ordinateur portable que vous empruntez. L’écran de connexion sur l’appareil emprunté aura une option pour présenter un QR Code que vous pouvez scanner avec votre smartphone. Vous utiliserez le Bluetooth pour vous assurer que le téléphone et l’ordinateur sont à proximité et vous utiliserez ensuite une empreinte digitale ou la reconnaissance faciale sur votre propre téléphone. Celui-ci communiquera alors avec l’ordinateur via une connexion sécurisée pour compléter le processus d’authentification.

Pourquoi les passkeys sont-elles plus sécurisées que les mots de passe ?

Les passkeys utilisent une clef publique. C’est la même technologie que celle qui protège votre carte de crédit lorsque vous saisissez le numéro sur un site. La beauté du système, c’est qu’un site n’a qu’à baser son enregistrement passkey sur votre clef publique, une donnée qui, comme son nom l’indique, est publique. La clef privée utilisée pour définir une passkey est, elle, uniquement stockée sur votre propre appareil. Il n’y a pas de base de données de mots de passe qu’un hacker peut voler, par exemple.

Oublier les mots de passe

Un autre grand avantage est que les passkeys empêchent toute tentative de phishing. “Les passkeys sont intrinsèquement liées au site ou à l’app pour lequel vous l’avez configurée. Ainsi, les utilisateurs ne peuvent jamais être dupés, et utiliser leur passkey sur le mauvais site”, expliquait Ricky Mondello durant la WWDC.

Utiliser les passkeys nécessitent d’avoir votre appareil à portée de main, une combinaison qui offre la protection de l’authentification double facteur avec la frustration du SMS en moins. Et avec les passkeys, personne ne peut regarder par-dessus votre épaule pour vous voir saisir votre mot de passe.

Quand les passkeys vont-ils arriver ?

Les passkeys ont commencé à arriver cette année. Ils sont présents sur iOS 16 et arriveront bientôt sur iPadOS 16 et macOS Ventura. Google introduira sa prise en charge dans Android avant la fin de l’année 2022. Chrome a déjà commencé à les tester dans son canal Canary. Les passkeys devraient arriver officiellement dans Chrome et Chrome OS en même temps. Microsoft a l’intention de les prendre en charge dans Windows dans le courant de l’année.

Ceci étant dit, il ne s’agit là que de permettre la technologie. Les apps et sites web devront être mis à jour pour les prendre en charge. Certains développeurs le feront très rapidement, d’autres bien plus lentement. Et même si les passkeys se démocratisent rapidement, les mots de passe ne devraient pas disparaître.

Les sites et app m’obligeront-ils à utiliser des passkeys ?

Il est très peu probable que vous soyez contraint(e) d’utiliser des passkeys. Les sites et apps que vous utilisez déjà vous proposeront certainement le mot de passe traditionnel à côté des passkeys.

Lorsque vous vous enregistrez sur un nouveau service, les passkeys pourront cependant être proposées comme l’option préférée. Et à terme, elles pourraient devenir la seule possibilité.

Les passkeys vous enferment-elles dans l’écosystème Google ou Apple ?

Pas exactement. Bien que les passkeys soient ancrées dans les technologies de l’un des deux géants, vous pourrez passer de l’un à l’autre facilement.

“Les utilisateurs peuvent s’enregistrer sur un navigateur Google Chrome sur un appareils sous Microsoft Windows en utilisant une passkey sur un appareil Apple”, expliquait Vasu Jakkal, de Microsoft.

Les géants à l’origine de cette technologie travaillent aussi à permettre de migrer les passkeys d’un géant à un autre, expliquaient Apple et Google.

Les gestionnaires de mots de passe jouent un rôle important dans la génération, le stockage et la synchronisation des mots de passe. Mais les passkeys sont ancrées sur votre smartphone ou votre ordinateur, pas dans votre gestionnaire de mots de passe. Tout du moins aux yeux de Google et Apple.

Cela pourrait cependant changer. “Nous nous attendons à une évolution naturelle de l’architecture qui permet aux gestionnaires tiers de passkeys d’entrer dans la partie et de proposer, notamment, une portabilité entre les écosystèmes”, selon Mark Risher, responsable de l’authentification chez Google.

Les passkeys devraient évoluer pour faire tomber les barrières entre les écosystèmes et s’accommoder des gestionnaires de mots de passe tiers. “Ceci a été un point de discussion depuis le début.”

Et en effet, Dashlane teste déjà la prise en charge des passkeys. Le gestionnaire prévoit de la proposer au grand public dans les semaines à venir. Les utilisateurs peuvent stocker leurs passkeys pour leurs sites et bénéficier de la même praticité et la même sécurité que ce qu’ils ont déjà avec leurs mots de passe, expliquait l’entreprise ans un post de blog.