Combien d'entre nous avons déjà oublié le mot de passe d'un compte ? Probablement tous, n'est-ce pas ? C'est l'une des problématiques associées aux mots de passe traditionnels que nous utilisons quotidiennement. Afin de garantir leur sécurité, ils doivent désormais être d'une complexité extrême, ce qui nécessite une mémoire exceptionnelle ou, à défaut, l'aide d'applications de gestion de mots de passe quelque peu risquées. 

Et s'il existait un moyen encore plus sécurisé d'accéder à nos comptes sans avoir à se souvenir des mots de passe ? Google pense que les passkeys sont la solution.

Un passkey est une pièce d'identité numérique qui permet aux utilisateurs de s'authentifier et de se connecter à des applications et à des sites web sans avoir à mémoriser un nom d'utilisateur et un mot de passe, en utilisant uniquement un capteur biométrique (empreinte digitale ou reconnaissance faciale), un code PIN ou un motif.

Contrairement aux mots de passe, cette méthode de connexion ne nécessite pas de facteur d'authentification supplémentaire (comme les OTP, mots de passe à usage unique). Selon Google, les passkeys sont plus simple d'utilisation et 40 % plus rapides à utiliser que les mots de passe. Google affirme également que les passkeys sont plus sécurisés, en raison du type de cryptographie sur lequel ils s'appuient.

C'est pourquoi Google fait officiellement des passkeys l'option de connexion par défaut pour tous les utilisateurs. Alors, quel meilleur moment que celui-ci pour découvrir les avantages, les risques et les défis des passkeys ?

Tout d'abord, pourquoi les mots de passe sont-ils lentement en train de disparaître ?

Lorsque les mots de passe ont été inventés, dans les années 1960, par un professeur du MIT, des mots simples et mémorisables suffisaient à empêcher les accès non autorisés. Aujourd'hui, cependant, les cyberattaquants sont extrêmement rapides à trouver des combinaisons complexes de caractères, ce qui rend les mots de passe comme une méthode d'identification peu sûre et fragile.

Ce qui se passe, c'est que la plupart des personnes écrivent leurs mots de passe sur un post-it, physique ou numérique (ce qui n'est pas la solution la plus sécurisée), ou utilisent des applications de gestion de mots de passe, qui sont elles aussi facilement corrompues. La preuve en est ce qui est arrivé à Last Pass, qui a été la cible d'une inquiétante cyberattaque en août 2022, et plus récemment à Okta, dont les données des utilisateurs ont été compromises en octobre 2023.

Il est vrai que, récemment, l'authentification multifactorielle (MFA) a considérablement augmenté le niveau de sécurité de cette méthode de connexion, mais le fait est que vous devez toujours vous souvenir du mot de passe principal pour aller de l'avant.

Les mots de passe ne sont donc plus perçus comme simple d'utilisation ou sécurisés, ce qui entraîne leur déclin.

La naissance des passkeys

En 2012, l'Alliance FIDO (Fast Identity Online) a été fondée par plusieurs dirigeants d'entreprises de différents secteurs pour travailler conjointement sur un protocole d'authentification sans mot de passe.

La première version de l'authentification FIDO a été achevée et publiée en 2014, tandis que FIDO2 a vu le jour en 2018, standardisant l'authentification forte FIDO à travers tous les navigateurs web et l'infrastructure de plateforme web associée.

D'une manière générale, l'authentification FIDO repose sur la cryptographie à clé publique, le fondement même des passkeys. André Cortez, administrateur des systèmes et de l'infrastructure d'act digital, explique comment cela fonctionne : "Les passkeys utilisent un chiffrement composé de deux clés : une clé publique stockée sur le serveur de service et une clé privée présente sur l'appareil de l'utilisateur. Après approbation biométrique, une clé publique est envoyée pour être couplée à la clé du service et l'authentification est effectuée. La clé privée n'est jamais envoyée.

Les passkeys sont-ils vraiment plus sécurisés que les mots de passe?

La réponse semble être oui. Selon André Cortez, en raison du mode de chiffrement des passkeys, "il n'y a plus aucun risque de vol de mots de passe ou de compromission d'identité, même si les appareils eux-mêmes sont perdus ou volés", assure-t-il. 

Elyes Chemengui, expert en cybersécurité chez act digital, partage l'avis d'André, soulignant le fait que les passkeys nécessitent la proximité physique des appareils. "Les passkeys permettent de limiter le vol d'informations d'identification en utilisant l'authentification physique. Ils ne sont pas vulnérables aux attaques de phishing ou aux violations de mot de passe. Cela signifie que si quelqu'un obtient votre nom d'utilisateur et votre mot de passe, il aura toujours besoin du passkey physique pour accéder à votre compte, ce qui réduit considérablement le risque d'accès non autorisé et renforce la sécurité globale", précise Elyes.

En résumé, notre expert en cybersécurité estime que "les passkeys peuvent atténuer efficacement diverses cybermenaces", à savoir :

• Violation des données d'identification"Comme les passkeys ne dépendent pas des mots de passe, ils empêchent l'utilisation d'informations de connexion volées dans des tentatives de connexion automatisées sur différentes plateformes."
• Prise de contrôle de comptes"Étant donné que les passkeys fournissent une couche de sécurité supplémentaire, il est beaucoup plus difficile pour les attaquants de prendre le contrôle des comptes, même s'ils parviennent à obtenir certaines informations de connexion."
• Attaques par force brute"Les passkeys ne sont pas vulnérables aux attaques par force brute, où les attaquants tentent de deviner les mots de passe à l'aide de méthodes automatisées, car ils fonctionnent en dehors du système d'authentification par mot de passe."

Les défis de l'implementation des passkeys

Pour les entreprises en particulier, l'intégration des passkeys dans l'infrastructure informatique existante ne devrait pas poser de problème aujourd'hui. Selon notre administrateur des systèmes et de l'infrastructure, cela ne devrait pas être une préoccupation de nos jours : "Pratiquement tous les téléphones mobiles, tablettes et ordinateurs portables sont équipés de capteurs biométriques, il me semble donc que ces nouvelles méthodes peuvent être facilement adoptées. Du côté des utilisateurs, l'infrastructure est garantie, avec des appareils et des systèmes capables de gérer et de reconnaître les enregistrements biométriques. C'est vraiment aux entreprises d'adapter leurs infrastructures actuelles pour accepter les passkeys".

Elyes Chemengui, quant à lui, estime que le processus consistant à "assurer la compatibilité et l'intégration fluide des passkeys avec les systèmes et logiciels existants pourrait poser des problèmes lors du processus d'adoption, entraînant des pertubations dans les flux de travail". "Cela pourrait nécessiter des ajustements ou des mises à jour de la configuration actuelle. Un plan de déploiement peut minimiser les perturbations", explique-t-il.

En ce qui concerne les politiques de confidentialité et de contrôle, les deux experts d'act digital expriment certaines préoccupations : "L'un des avantages des passkeys est la synchronisation entre les appareils d'un même écosystème. Bien que cela soit pratique pour les utilisateurs, cela pose un problème en termes de contrôle, de sécurité et de conformité. Les appareils personnels et les passkeys qui se synchronisent les uns avec les autres peuvent conduire à ce que les informations d'identification et les données de l'entreprise soient partagées avec des personnes extérieures à l'organisation", prévient André Cortez. Et Elyes ajoute : "La biométrie et les autres méthodes d'authentification avancées impliquent la collecte et le stockage de données utilisateur sensibles. Il est essentiel de garantir la confidentialité et le traitement sécurisé de ces données".

Outre ces défis, notre expert en cybersécurité identifie quelques autres problèmes potentiels que les entreprises devraient garder à l'esprit :

• Dépendance aux appareils physiques"Les entreprises qui utilisent des passkeys peuvent être confrontées à des problèmes si les employés oublient, perdent ou endommagent leurs clés. Cette dépendance à un appareil physique peut entraîner des problèmes d'accès et des temps d'arrêt potentiels si des remplacements ne sont pas déjà disponibles."
• Coût et logistique"La mise en place des passkeys au sein d'une organisation entraîne des coûts liés à l'achat et à la distribution de ces appareils physiques. La gestion et le remplacement des clés perdues ou endommagées peuvent également entraîner des dépenses logistiques supplémentaires."
• Point de défaillance unique"Bien que les passkeys renforcent la sécurité, si un pirate obtient un accès physique  à la clé d'un employé, il peut contourner d'autres mesures de sécurité, ce qui constitue un risque s'il n'est pas correctement atténué.

Meilleures pratiques en matière de passkeys

Selon nos experts, lors de la transition vers une méthode d'authentification par passkeys, les entreprises et leurs employés doivent garder à l'esprit les mesures de sécurité suivantes :

• Stockage sécuriséProtégez les passkeys comme vous le feriez avec tout autre objet de valeur. Conservez-les dans un endroit sécurisé et évitez de les laisser sans surveillance ou simple d'utilisation.
• Signalez la perte ou le vol des passkeysSignalez immédiatement les passkeys perdus ou volés au service informatique ou aux responsable de la sécurité. Cela permet d'agir rapidement, telle que la désactivation de la clé pour empêcher l'accès non autorisé.
• Mises à jour régulières du logicielMaintenez le micrologiciel des passkeys et le logiciel associé à jour pour bénéficier des correctifs et des améliorations de sécurité.
• Éviter de partager ou de prêter des passkeysEncouragez les employés à ne pas partager leurs passkeys ou à ne pas les prêter à d'autres personnes, car cela compromet la sécurité. Assurez-vous de fournir une formation complète sur l'utilisation des passkeys, incluant les meilleures pratiques et la marche à suivre en cas de perte ou de vol.
• Conformité réglementaireVeiller à ce que les systèmes de passkeys soient conformes aux normes et réglementations du secteur pour éviter les problèmes juridiques et de conformité.
• ContrôleLa mise en place d'un système robuste de surveillance, de gestion et de remplacement des passkeys, ainsi que la garantie de mises à jour et de correctifs en temps opportun, sont essentielles pour assurer une sécurité continue.

Qui utilise les passkeys?

Outre Google, les entreprises suivantes prennent déjà en charge l'utilisation des passkeys comme alternatives aux mots de passe :

• PayPal
• Adobe
• TikTok
• GitHub
• Microsoft
• Amazon
• WhatsApp
• Uber
• X
• LinkedIn
• eBay
• Et d'autres…

Dans un avenir proche…

Malgré l'adoption des passkeys comme méthode de connexion par défaut pour tous les utilisateurs, Google continuera à prendre en charge les mots de passe traditionnels. Cela signifie que les utilisateurs peuvent continuer à les utiliser, s'ils le souhaitent, en désactivant simplement l'option "Ignorer le mot de passe lorsque c'est possible".

Toutefois, les experts du secteur s'accordent généralement à dire que les passkeys semblent être l'avenir, non seulement parce qu'ils sont plus sécurisés, mais aussi parce qu'ils sont plus simple d'utilisation.

Malgré les risques et les défis potentiels mentionnés précédemment, notre expert en cybersécurité est catégorique : "Oui, je crois que nous verrons un avenir sans mots de passe".