Dans le monde en constante évolution de la cybersécurité, les mots de passe traditionnels ne sont tout simplement pas suffisants.
En combinant la puissance de la cryptographie à clé publique avec l'authentification biométrique, les passkeys créent une solution où vous n'aurez plus jamais besoin de vous souvenir de vos mots de passe ni de craindre des failles de sécurité.
Avec plus de 6 milliards d'identifiants, de noms d'utilisateur et de mots de passe uniques disponibles sur le dark web, et avec la plupart des utilisateurs qui utilisent les mêmes mots de passe sur toutes les plateformes, les passkeys sont apparues comme une solution révolutionnaire, offrant une méthode d'authentification plus sûre et plus rationnelle.
La technologie des passkeys (“clés d’accès” en français) présente de nombreux avantages qui en font la meilleure option.
Mais qu'est-ce qu'un passkey et en quoi diffère-t-il d'un mot de passe ?
Quels grands acteurs sont à la pointe de cette tendance et intègrent la prise en charge des passkeys dans leur écosystème ?
Dans cet article, nous allons nous pencher sur la signification des passkeys, sur leur fonctionnement et sur les raisons pour lesquelles ils représentent l'avenir de la sécurité en ligne.
Prêt à plonger dans l'avenir ? C'est parti !
En termes simples, un passkey est une clé cryptographique conçue pour remplacer les mots de passe.
Comme les anciens mots de passe pouvaient facilement être volés, piratés ou même devinés, les passkeys fonctionneraient à un niveau complètement différent, avec l'authentification par paires de clés publique-privée.
Contrairement à un mot de passe, les passkeys ne peuvent pas être partagés, mémorisés ou écrits. Ils sont donc beaucoup moins vulnérables aux types d'attaques qui visent généralement les systèmes basés sur des mots de passe.
Au fond, les passkeys reposent sur la cryptographie asymétrique, qui permet une authentification forte et sans friction. Les passkeys s'appuient sur des paires de clés publiques-privées pour authentifier les utilisateurs sans jamais exposer d'informations sensibles.
Lorsqu'un passkey est créé, deux clés cryptographiques sont générées :
1. La clé publique : La clé publique reste sur le serveur du fournisseur de services. Elle n'est pas sensible en soi et ne peut pas être utilisée pour accéder à votre compte.
2. La clé privée : Cette clé est conservée sur l'appareil de l'utilisateur, comme un smartphone. Elle ne quitte jamais l'appareil et est toujours protégée par une forme forte de vérification de l'utilisateur.
Maintenant que la signification des passkeys est claire, passons à la manière dont leur magie opère :
Lorsque vous créez un compte à l'aide de passkeys, votre appareil crée une paire de clés publique-privée.
La clé publique est stockée sur les serveurs du service, tandis que la clé privée est stockée en toute sécurité sur votre appareil, dans des composants dédiés conçus pour conserver les données sensibles. Il s'agit notamment de Secure Enclave sur les appareils Apple, de Trusted Platform Module (TPM) sur Windows et Android, et de Samsung Knox pour les appareils Galaxy. Ces composants sont isolés du processeur principal et fonctionnent comme un coffre-fort qui, même en cas d'attaque de logiciels malveillants ou de violation, permet de sécuriser les données sensibles de l'utilisateur.
Les passkeys fonctionnent également sur différents appareils ; grâce à des écosystèmes sécurisés, les clés privées sont synchronisées sur tous les appareils, ce qui rend l'authentification transparente sur tous les appareils où un compte cloud, tel qu'iCloud ou Google, est actif.
Lors de la connexion, au lieu de demander un mot de passe à l'utilisateur, le service lui demande d'utiliser le mécanisme de déverrouillage de l'appareil.
L'appareil signe le défi avec la clé privée et le renvoie au service pour vérification par la clé publique. La clé privée est définie par domaine.
L'appareil crée une signature basée sur le temps pour chaque tentative de connexion et expire peu de temps après sa création, ce qui garantit que même si elle est interceptée, elle ne peut pas être réutilisée ou exploitée.
Ce processus se déroule en temps réel et permet une connexion très sûre et transparente.
C'est comme si vous disposiez d'un gardien numérique ultra-sécurisé pour tous vos comptes.
Bien que la biométrie remonte à 500 ans avant J.-C. dans l'Empire babylonien, où les empreintes digitales étaient utilisées sur des tablettes d'argile pour l'identification, le premier système biométrique officiel a été mis au point dans les années 1800 par Alphonse Bertillon à Paris, qui utilisait les mesures corporelles pour identifier les criminels.
Si les premières authentifications biométriques ont jeté les bases de la vérification d'identité, l'évolution vers les passkeys a commencé en 2012, lorsque l'alliance FIDO a été créée par des entreprises telles que PayPal et Lenovo, avec pour mission d'éliminer les mots de passe.
En 2013, l'iPhone 5S d'Apple a introduit Touch ID, accélérant l'adoption de la biométrie et ouvrant la voie à l'intégration de l'authentification biométrique par d'autres entreprises.
La révolution des passkeys a commencé en 2021, avec l'adoption par les grandes entreprises technologiques des normes FIDO2 et WebAuthn, pour permettre l'authentification sans mot de passe, rendant les passkeys accessibles à des milliards d'utilisateurs aujourd'hui.
Une étape importante dans l'évolution des passkeys a été franchie avec l'approbation par le NIST (Institut national des normes et de la technologie en français) des passkeys synchronisées dans son supplément aux lignes directrices SP 800-63B.
Cette reconnaissance souligne la nature résistante au phishing des passkeys et leur potentiel pour remplacer les mots de passe traditionnels par des solutions sécurisées d'une manière plus pratique pour leurs propriétaires.
Avec l'aval du NIST, les passkeys sont sur le point d'être adoptés par le grand public, en particulier dans les secteurs réglementés tels que la banque et les soins de santé, et de constituer la prochaine phase de la vérification sécurisée de l'identité numérique.
L'adoption des passkeys prend de l'ampleur, les principaux fournisseurs de navigateurs et de systèmes d'exploitation montrant la voie.
Apple, Google et Microsoft ont déjà intégré la prise en charge de la technologie dans leurs écosystèmes, ce qui permet aux utilisateurs de se connecter facilement à leur écosystème.
En outre, de nombreux fournisseurs de services ont déjà adopté la révolution des clés de sécurité.
Parmi les principaux partisans de cette technologie, on peut citer :
Plusieurs navigateurs populaires ont intégré la prise en charge des passkeys, notamment :
Des géants comme GitHub, Dropbox et PayPal activent actuellement les passkeys pour améliorer la sécurité de leurs sites web.
Une liste croissante de grandes entreprises ont adopté les passkeys, notamment :
Il existe deux types de passkeys différents, qui répondent à des cas d'utilisation différents, et surtout, à des exigences de sécurité différentes. Parmi les différentes catégories que vous trouverez en faisant vos recherches dans le monde de la sécurité numérique, il y a les passkeys multi-appareils et les passkeys liés à un appareil. Découvrons ces deux catégories.
Les passkeys multi-appareils, également connus sous le nom de passkeys synchronisées, sont le meilleur choix pour un usage personnel. Ils se synchronisent de manière transparente entre vos différents appareils, tels que votre téléphone, votre tablette ou votre ordinateur portable, à condition qu'ils soient liés à votre compte Apple, Google ou Microsoft. Cette flexibilité vous permet d'accéder à vos comptes à partir de n'importe lequel de vos appareils de confiance.
En revanche, les passkeys liées à un appareil sont les gardiens de la forteresse du monde de l'entreprise : ne pouvant pas être copiées du tout parce qu'elles sont liées à un appareil, elles ajoutent une couche de sécurité supplémentaire essentielle pour les entreprises qui appliquent des politiques strictes de protection des données.
Les passkeys offrent un nouveau niveau de commodité et de sécurité aux utilisateurs et aux développeurs. Voici en quoi elles font la différence :
Les passkeys ont aussi leurs limites : leur adoption étant limitée, tous les services ne les prennent pas encore en charge.
S'ils ne sont pas mis en œuvre correctement, il peut être difficile de les récupérer en cas de perte de tous les appareils liés. En outre, la dépendance à l'égard d'écosystèmes tels qu'iCloud et le gestionnaire de mots de passe Google peut limiter les utilisateurs qui ne se servent pas de ces plateformes.
Enfin, il y a une phase d'apprentissage pour les utilisateurs qui ne sont pas familiarisés avec cette nouvelle méthode d'authentification.
Toutefois, ces inconvénients ne sont que temporaires : à mesure que les clés d'authentification gagneront en popularité, leur utilisation deviendra plus facile et plus universelle.
Les passkeys sont la prochaine génération d'authentification, essayant de résoudre les limites des mots de passe que les utilisateurs sont généralement obligés de gérer en les réutilisant ou en les simplifiant en raison de contraintes de mémoire.
Les mots de passe comportent des faiblesses et facilitent la vie des pirates.
Voici quelques points essentiels qui expliquent pourquoi les passkeys sont meilleures :
L'avenir des passkeys s'annonce vraiment innovant. Outre les empreintes digitales et la reconnaissance faciale, qui sont les méthodes d'authentification biométrique utilisées aujourd'hui, nous pourrions également utiliser les ondes cérébrales, les battements de cœur ou même l'ADN.
De plus, avec l'utilisation de la technologie blockchain, cela pourrait permettre à l'identité auto-souveraine d'entrer en jeu, où les gens eux-mêmes ont un contrôle total sur leurs données, en utilisant les clés comme preuve d'identité de manière universelle.
À mesure que ces technologies évoluent, de plus en plus de personnes se demandent ce qu'est un passkey et comment il fonctionne. Cette curiosité croissante pousse les innovateurs technologiques à investir des efforts considérables dans le développement et l'amélioration de ce domaine.
Il ne fait aucun doute que les passkeys changeront la sécurité et l'identité numérique pour les générations futures.
Les passkeys expliqués, vous voudrez peut-être les mettre en œuvre pour votre site web ou votre appli.
Consultez notre guide d'intégration des passkeys pour plus d'informations.
Mise en œuvre des passkeys - Solutions de passkeys prêtes à l'emploi
La bonne nouvelle, c'est que vous n'avez pas besoin de partir de zéro pour mettre en œuvre les clés. Il existe de nombreuses solutions qui accélèrent votre feuille de route.
Les fournisseurs d'identité prennent en charge les clés prêtes à l'emploi pour faciliter leur intégration dans vos flux d'authentification.
Si vous souhaitez davantage de contrôle, des bibliothèques telles que SimpleWebAuthn ou WebAuthn4J peuvent gérer une cryptographie complexe côté serveur.
Et pour les développeurs d'applications mobiles, il est tout aussi facile de mettre en œuvre des passkeys à l'aide des services d'authentification d'Apple ou de l'API des services d'identité de Google.
Des plateformes comme OwnID fournissent des SDK et des API complets qui sont disponibles pour les développeurs web et mobiles, OwnID prend en charge la personnalisation, l'analyse et la conformité.
Avec OwnID, les développeurs disposent de solutions de passkeys faciles à utiliser, sécurisées, qui s'intègrent de manière transparente dans vos systèmes avec un minimum de lignes de code. Cela permet d'économiser du temps de développement et de garantir une sécurité solide, libérant ainsi les développeurs pour innover, et non pour construire une infrastructure. Ces solutions clés permettront aux équipes de lancer leurs projets en un rien de temps sans avoir à réinventer la roue, offrant ainsi un moyen d'authentification innovant.
Les passkeys représentent un type d'authentification innovant qui remplacerait les mots de passe.
La cryptographie à clé publique permet à votre appareil de générer une paire de clés, dans laquelle la clé privée est conservée en lieu sûr tandis que la clé publique est communiquée au service.
Ouvrez n'importe quel service ou application en ligne qui prend en charge les passkeys et cliquez sur l'option permettant de créer une clé. Il suffit de suivre les instructions, qui impliquent généralement une authentification biométrique.
Les mots de passe ordinaires sont créés par l'utilisateur sous la forme d'une chaîne de caractères, les passkeys sont générées grâce à des clés cryptographiques créées et stockées en toute sécurité sur votre appareil. Par rapport aux mots de passe, les passkeys sont immunisés contre le phishing ou les violations de données.
Les passkeys sont pratiquement impossibles à pirater. La clé privée ne quitte jamais votre appareil et nécessite une authentification biométrique, ce qui les rend totalement insensibles au phishing et aux violations de données.
Parmi les inconvénients possibles de l'utilisation des passkeys, citons l'adoption limitée, leur accès dépend des appareils et la difficulté de récupération en cas de perte de tous les appareils.
Des options de récupération sont disponibles sur la plupart des plateformes offrant cette fonctionnalité, comme l'utilisation d'un autre appareil lié au compte ou l'utilisation d'un code de récupération. Il est fortement recommandé de mettre en place des dispositifs de sauvegarde ou même d'utiliser une autre méthode de récupération pour accéder à vos différents comptes.
Oui, la plupart du temps, vous pouvez toujours utiliser votre mot de passe même après avoir mis en place un passkey. La plupart des services qui prennent en charge les passkeys continuent d'utiliser les mots de passe pour des raisons de compatibilité et en tant que forme alternative d'authentification.