Faïza fait de la veille marketing pour une agence de publicité basée à Casablanca. Au quotidien, hormis les outils professionnels mis à sa disposition, elle a installé plusieurs applications, et a créé plusieurs blogs sur son téléphone personnel. Faïza est certes passionnée de marketing mais n’arrive pas à créer des mots de passe complexes et différents pour accéder aux applications. Une fois créés, ces mots de passe sont vite rangés aux oubliettes et elle prend rarement l’initiative de les renouveler.

Résultat des courses : à plusieurs reprises, les comptes officiels de la jeune consultante ont été piraté entraînant une dégradation de sa réputation.

Selon Digital Shadows¹, environ 27 milliards de mots de passe ont été dérobés et mis en vente par les cybercriminels sur le web et le darkweb. Selon Hive Systems (entreprise spécialisée dans les systèmes de sécurité informatique) il est de plus en plus facile de pirater des mots de passe peu sécurisés. En 2020, un mot de passe de 8 caractères avec des lettres majuscules, minuscules, des symboles et des chiffres pouvait être trouvé en 8 heures. En 2023, il ne faut plus que 5 minutes pour y parvenir selon la même source².

Malgré les recommandations de L’ANSSI³, l’existence de coffres-forts numériques et d’autres solutions en place, un enjeu majeur demeure : l’affranchissement des mots de passe de façon plus flexible et sécurisée. Les passkeys semblent apporter une réponse suffisante à cette aspiration.

Qu’est-ce qu’un passkey ?

Un passkey est une clé d’accès (ou clé d’identification) contenant des données chiffrées prouvant que vous êtes bien le propriétaire du compte auquel vous tentez de vous connecter. Les passkeys reposent sur le principe du chiffrement asymétrique⁴, qui implique l’existence de deux clés de chiffrement, une clé publique (stockée sur les serveurs de la plateforme) et une clé privée (stockée localement sur l’appareil de l’utilisateur), qui se synchronisent entre elles lors d’une tentative de connexion.

Genèse des passkeys

Les passkeys ont pour origine une initiative menée par l’Alliance FIDO (Fast IDentity Online), fondée en 2013, dont la mission est de renforcer l’interopérabilité entre les dispositifs d’authentification forte et de développer des normes d’authentification contribuant à réduire la dépendance aux mots de passe. Cette initiative a reçu un écho favorable auprès de Google, Microsoft et Apple. Ces dernières années, ces 3 géants de la tech mondiale ont décidé de renforcer le support des standards FIDO, les passkeys donc, afin d’accélérer la transition vers cette technologie. Ces trois entreprises font partie du conseil d’administration de l’Alliance FIDO, qui comprend également Samsung, Amazon, Intel, Lenovo, Meta (Facebook) ou encore Qualcomm. Outre cela, PayPal, Mastercard, Visa et American Express sont aussi présents au board.

Comment ça marche ?

Comme lorsque vous créez un mot de passe à la création d’un nouveau compte actuellement, vous pouvez choisir d’opter pour un passkey sur les services qui prennent en charge cette technologie. Dans ce cas, la plateforme en question va générer les deux clés (publique et privée), qui fonctionnent ensemble. Seule votre clé privée sera reconnue par la clé publique dans le cadre du protocole de chiffrement et permettra la connexion au compte par l’intermédiaire du passkey. L’appareil physique n’est pas la seule couche de protection permettant de valider la connexion. Une méthode d’authentification prise en charge par le terminal en question, au choix de l’utilisateur, permet de se connecter. Il peut s’agir d’un déverrouillage biométrique (reconnaissance faciale, empreinte digitale), d’un code PIN, d’un schéma…

Pourquoi utiliser les Passkeys ?

L’usage des passkeys confèrent 2 avantages cruciaux :

La flexibilité : accéder à ses applications en utilisant le même procédé que le déverrouillage de son appareil sans avoir besoin de se remémorer ses mots de passe ou d’utiliser un gestionnaire.
La sécurité : une méthode de connexion ultra sécurisée se basant à la fois sur l’accès physique à l’appareil et sur la connaissance de la méthode d’identification.

Les limites des Passkeys

Malgré les nombreux avantages des passkeys, leur adoption à grande échelle nécessitera encore plusieurs développements et ajustements. L’un des plus gros freins à l’utilisation massive des passkeys est le stockage des clés privées. Actuellement, Google et Apple proposent de stocker ces clés privées sur leur gestionnaire de mots de passe respectifs (Google Password Manager, Trousseau iCloud) mais il n’existe pas de système de transfert entre les deux écosystèmes. L’Alliance FIDO travaille donc activement sur ce sujet, et met tout en œuvre pour proposer une solution de transfert à la fois sécurisée et facile d’utilisation.

De par leur construction, les passkeys ne sont pas liés à un seul appareil. Par exemple, les clefs privées peuvent être stockées sur iCloud et synchronisées entre plusieurs périphériques. Cela pose donc un véritable problème de sécurité pour les entreprises. En effet, les utilisateurs pourraient y accéder sur des appareils non autorisés par les politiques de sécurité de leur entreprise. Un périphérique non autorisé pourrait ainsi être synchronisé avec les passkeys professionnels de l’utilisateur, tout en étant vulnérable par manque de correctifs de sécurité.  Des scénarios de ce type sont à prendre en compte par toute entreprise souhaitant mettre en place des passkeys sur son système d’information.

En définitive, cette technologie, grâce à son mode de fonctionnement, présente une flexibilité et une sécurité supérieures par rapport aux solutions traditionnelles actuelles. Les passkeys signalent la fin de l’ère des mots de passe et s’annoncent prometteurs pour l’avenir. Autrement dit, un monde “passwordless” se fera avec l’usage répandu des passkeys. Cependant, de nombreux écueils restent à résorber : la compatibilité entre les différents systèmes d’exploitation et la faible étanchéité entre terminaux professionnels et personnels (non approuvés par les réseaux d’entreprises) utilisant la même technologie.

Par Brice-Yves KOFFI

1. Entreprise de cybersécurité organisant sa veille du web autour d’un moteur de recherche, qui permet à l’utilisateur d’effectuer librement des recherches avec des mots clés pour trouver des données sur le Dark Web. Des mots clés peuvent être mis en surveillance et des actualités pertinentes en lien avec le Dark Web sont accessibles. ↩︎
2. Combien de temps faut-il à un hacker pour trouver vos mots de passe ? par SFR ACTUS ↩︎
3. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de cybersécurité. Placée sous l’autorité du Premier ministre et rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN), elle bénéficie d’un positionnement lui permettant de déployer une politique globale de cybersécurité et d’en assurer la coordination à l’échelle interministérielle. ↩︎
4. Le chiffrement asymétrique utilise un ensemble de deux clés : une clé publique pour le chiffrement et une clé privée pour le déchiffrement, que seule une partie connaît.
   La clé privée doit être gardée secrète par le destinataire car toute partie ayant accès à une clé privée ou à une clé publique a accès aux fonds. Le chiffrement asymétrique est basé sur des algorithmes de chiffrement asymétrique qui sont très difficiles à résoudre. ↩︎