5 questions sur les passkeys, ce système qui veut remplacer vos mots de passe

Serait-ce la fin de nos mots de passe ? Depuis plusieurs mois, Apple, Google, Microsoft et d’autres géants du web tentent de réinventer l’authentification sur le web grâce à une nouvelle méthode : les clés d’accès (ou clés d’accès en bon français). Leur but est de nous aider à nous débarrasser des mots de passe et de leur terrible réputation de sécurité.

L’authentification par la combinaison classique du nom d’utilisateur et du mot de passe présente de nombreux risques. Les internautes ont souvent tendance à réutiliser les mêmes mots de passe sur plusieurs sites et, comme le prouvent année après année les pires classements de mots de passe, ils sont rarement très sécurisés. En conséquence, la moindre fuite de données laisse des dizaines de comptes vulnérables au piratage. Nombreux sont les responsables qui devraient renforcer la sécurité, mais les grandes entreprises du web veulent désormais aller plus loin avec les clés d’accès.

Que sont les mots de passe ?

En termes simples, les mots de passe sont des clés cryptographiques stockées sur votre appareil (ordinateur, téléphone, tablette) qui vous permettent de vous identifier sur un site Web. Ces fichiers sont évidemment cryptés et ne peuvent être utilisés qu’après vérification de l’identité de l’utilisateur.

Lorsque vous vous inscrivez sur un site qui propose une authentification par mot de passe, deux clés sont créées : une clé publique, qui reste sur les serveurs du site, et une privée stockée sur votre appareil. Lorsque vous vous reconnecterez, l’emplacement spécifié présentera une sorte de “problème” cryptographique à votre appareil, que lui seul peut résoudre grâce à sa clé privée. Pour s’assurer que c’est bien vous devant l’écran, votre appareil vous demandera de vous identifier à l’aide d’un code PIN, d’une empreinte digitale ou d’une reconnaissance faciale.

Publicité, votre contenu continue ci-dessous

C’est toute l’intelligence du système. Au lieu de devoir retenir un mot de passe long et complexe, la même méthode que vous utilisez au quotidien pour déverrouiller votre téléphone suffira à vous identifier. Le système d’exploitation résoudra alors le “problème” et garantira l’identification. Le mot de passe disparaît donc au profit d’une identification simplifiée (puisque gérée par le système d’exploitation) et sécurisée (puisque protégée par cryptage). Cela rend le piratage plus complexe, car vous devez avoir accès à l’appareil en question et à la méthode de vérification de l’identification. Le phishing en créant de fausses pages est également presque impossible car chaque clé est liée à une URL spécifique.

Lire Aussi :  A Niagara Falls, le bruit du bitcoin couvre celui des chutes

A noter que, dans le cas d’une identification biométrique, l’empreinte digitale (ou le visage) elle-même n’est évidemment jamais transmise à l’hébergeur du site. Le serveur ne voit que la confirmation du système d’exploitation.

D’où est-ce que sa vient?

Les mots de passe ont été développés par l’association Fido, qui est responsable de la standardisation des protocoles d’identification. Derrière le terme marketing repris par Apple, Google et consorts, se cache en réalité l’interface de programmation WebAuthn, qui permet d’établir un lien entre l’authentification gérée par l’OS et la page à laquelle il est connecté.

Et est-ce que ça marche sur tous les appareils ?

Les lecteurs avisés remarqueront que les clés d’accès sont stockées localement sur l’ordinateur par défaut. Triste à l’heure où l’on se connecte autant depuis son smartphone, sa tablette ou son ordinateur. Heureusement, les promoteurs du système ont imaginé ce scénario.

Publicité, votre contenu continue ci-dessous

Les mots de passe peuvent en effet être synchronisés entre les appareils d’un même écosystème. Chez Apple, il est possible de les stocker dans iCloud Keychain, par exemple, ce qui leur permet d’être automatiquement disponibles sur votre iPhone, iPad et/ou Mac. Google déploie actuellement la même chose avec son gestionnaire de mots de passe, disponible sur Chrome et Android. Si vous essayez de vous connecter depuis une machine qui n’a pas accès à vos comptes, pas d’inquiétude : le site vous permettra de vous connecter par téléphone en lui envoyant une notification ou en scannant un QR code.

Lire Aussi :  La technologie ne nous enthousiasme plus... comment en est-on arrivé là ?

Malheureusement, il n’existe toujours aucun moyen de synchroniser votre trousseau d’un écosystème à un autre. Pour passer d’un iPhone à un terminal Android, par exemple, vous devez utiliser votre ancien appareil pour valider chaque connexion initiée par le nouveau.

De nombreux systèmes d’exploitation prennent déjà en charge les mots de passe. iOS 16 et macOS 13 permettent ainsi la création et la synchronisation de trousseaux. Google a commencé à déployer la fonctionnalité sur Android et devrait la rendre disponible sur tous les appareils exécutant la version 9.0 (ou ultérieure) du système d’exploitation en novembre. Sous Windows, les mots de passe sont disponibles avec les navigateurs Google Chrome et Microsoft Edge. En revanche, il n’y a pas beaucoup de plateformes qui proposent une identification par clés d’accès. Il existe des listes de sites sur Reddit qui utilisent ce nouveau protocole, mais il faudra probablement plusieurs mois (voire des années) pour que la méthode se généralise.

Publicité, votre contenu continue ci-dessous

Si vous avez un appareil compatible et que vous naviguez sur un site Web qui le propose, l’utilisation des clés d’accès ne pourrait pas être plus simple.

Lire Aussi :  La Chine prte soutenir la croissance en investissant davantage dans les technologies nationales et en redistribuant les revenus

Aller sur le site ad hoc (celui de Nvidia, par exemple) et, lors de la création de votre compte, ne saisissez pas de mot de passe et sélectionnez l’option Se connecter avec un dispositif de sécurité. Une fenêtre pop-up s’ouvrira alors vous demandant si vous souhaitez enregistrer une clé d’authentification (iOS) ou une clé d’accès (Android) pour l’identifiant que vous venez de saisir. Un rapide Face ID ou une analyse d’empreintes digitales plus tard, votre compte est créé. Lorsque vous souhaitez vous reconnecter, il vous suffit de sélectionner la même option puis de confirmer l’authentification en utilisant la méthode choisie.

Si vous avez déjà un compte (sur le site de Nvidia ou ailleurs), vous pouvez aller dans les options et ajouter une authentification par mot de passe via les paramètres (si le site le propose). Ce dernier est la plupart du temps caché dans les paramètres de sécurité et s’appelle Add Device / Security Device. Le système d’exploitation prendra alors le relais et vous pourrez vous laisser guider.

Publicité, votre contenu continue ci-dessous

Source

Leave a Reply

Your email address will not be published.

Articles Liés

Back to top button