Passkey : vers un monde sans mot de passe ?

Ah ! les mots de passe… On aimerait tellement s’en passer. Mais pour continuer à utiliser nos applications préférées, comment faire sans ? La réponse est pourtant déjà là, qui se généralise progressivement. Avec les Passkey, l’authentification sans mot de passe devient une réalité. Que vous pouvez d’ores et déjà exploiter sur de nombreux comptes. Et voici comment.

Faites l’exercice à l’occasion : demandez autour de vous ce qui est le plus pénible à gérer en informatique. Invariablement, la réponse tournera autour des mots de passe. La numérisation des activités requiert d’enregistrer un compte pour chaque système ou site que vous visitez. Et donc de créer un mot de passe. Le renforcement de la sécurité implique dorénavant de gérer une double authentification. Ce qui sécurise vos comptes – et c’est tant mieux, mais ce qui complexifie encore les choses : il faut au pire donner son numéro de mobile et saisir un code, ou utiliser une application tierce pour valider l’authentification.

Alors oui, des outils existent, qui simplifient la gestion des mots de passe, et la vie par la même occasion. Mais leur mise en place requiert un effort non négligeable. Ce qui fait que le petit carnet à spirales rempli de codes inintelligibles a encore de beaux jours devant lui. Tout de même, avec autant de technologie à disposition, est-ce qu’il ne serait finalement pas possible de se passer définitivement des mots de passe ? La solution viendra peut-être des Passkey, ou clé d’accès en bon français. Voyons comment.

Passkey : un mot de passe… en plus simple

Commençons par quelques (simples) explications techniques. Le mot de passe est un élément d’authentification que vous connaissez (« ce que je sais »). Lorsque vous vous connectez sur un système, il lui est transmis pour vérification et comparaison avec celui que vous avez saisi lors de la création du compte. Il n’y est pas est stocké en clair, mais codé, et c’est le même mécanisme de codage du mot de passe saisi à la connexion qui est utilisé avant la comparaison.

La double authentification repose en général sur d’autres facteurs, différents du mot de passe. Par exemple « ce que je possède », comme un téléphone mobile ou une clé d’authentification physique. Ou encore « ce que je suis » dans le cas d’une authentification biométrique. Cette combinaison rend l’authentification plus sûre. Mais elle repose toujours sur le fait que vous envoyez des informations au système auquel vous vous connectez, pour comparaison.

La double authentification repose toujours sur l’envoi de données liées au compte, et non pas à l’appareil

Les Passkey fonctionnent différemment. Elles utilisent les mêmes ressorts que la double authentification pour leur création : vous devez saisir votre mot de passe puis exploiter un dispositif tiers (application, appareil biométrique). Mais une fois que c’est fait, c’est seulement ce dispositif qui sera utilisé, rendant le mot de passe inutile. Par quel miracle ? La clé d’accès est en fait double et crée une relation entre votre appareil et le site auquel vous vous connectez : une clé privée réside sur votre appareil, et une clé publique est envoyée lorsque le compte est créé, et stockée sur le site.

Une relation unique avec vos appareils

Lorsque vous vous connectez avec une Passkey, il faut que cette relation entre l’appareil et le site existe. Si le site ne connaît pas votre appareil, la connexion sans mot de passe ne fonctionnera pas. Autrement dit : vous pouvez configurer votre compte avec un code aléatoire très complexe pour le protéger, car vous ne l’utiliserez pas. L’utilisation de la clé d’accès le remplacera. Et surtout, ce mot de passe n’est plus transmis par le réseau, car seule la concordance des deux clés, publique et privée, entre votre appareil et le site en question permettra de se connecter.

Vous aurez noté que la création de la clé d’accès et son utilisation sont soumises à l’utilisation d’un dispositif tiers. Et c’est justement là que les choses deviennent intéressantes. Ce dispositif peut être une application sur mobile, une clé biométrique, ou… un logiciel compatible. Sur Windows, cela s’appelle tout simplement Windows Hello. Ce programme gère depuis des années l’authentification des utilisateurs sur le système le plus répandu dans le monde. Et il est compatible avec des dispositifs biométriques intégrés à votre PC, tels que lecteur d’empreinte digitale ou reconnaissance faciale. Avec quels avantages ?

Quelques clés FIDO2 de Yubikey

Imaginez un peu : une fois le lien entre votre appareil et le site créé, l’authentification est résumée à regarder la caméra ou à toucher le lecteur d’empreinte. La Passkey fait le reste : la connexion au site reconnaît l’appareil, celui-ci vous propose de vous authentifier avec un facteur biométrique, Windows va chercher la clé privée dans le magasin des clés d’accès, l’envoie au site pour corrélation, et le tour est joué ! Magique, non ? Autre atout : puisque vous ne saisissez plus de mot de passe, vous êtes moins exposé aux attaques par phishing, qui restent le moyen de piratage le plus répandu aujourd’hui.

Le futur, c’est maintenant

Vous pouvez déjà faire l’expérience sur quelques applications compatibles. Car c’est une limitation évidemment : le site ou le système doivent supporter les clés d’accès. C’est heureusement le cas chez les grands acteurs du Web : Amazon, Microsoft, Google, etc. Comme les systèmes d’authentification se standardisent et utilisent majoritairement le Web, le nombre de ces sites augmentera rapidement. Et si vous n’êtes pas sous Windows (ça arrive), pas de panique, d’autres solutions existent : Mac est évidemment compatible avec les Passkey (via FaceID et TouchID), et vous pouvez sinon utiliser un dispositif physique tel qu’une clé Yubikey au standard FIDO2.

Si vous utilisez plusieurs appareils, chaque appareil devra créer et gérer sa propre clé, ce qui rend les choses un peu plus contraignantes, en tout cas au départ. Et pour autant, vous ne pourrez pas faire l’impasse sur le gestionnaire de mots de passe : s’il n’est plus utilisé une fois les clés d’accès en place, le mot de passe restera le facteur initial nécessaire à la création de tout compte. Mais après cela, vous oublierez rapidement cette petite contrainte initiale. Alors, prêt à faire le saut et tordre le coûts à ces satanés mots de passe ? Soyons honnêtes, vos Post-It et votre petit cahier n’ont plus de raison d’être.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Prêt à vous passer des mots de passe ? On imagine que oui… contactez-nous pour savoir comment faire !