Les mots de passe traditionnels sont souvent une source de frustration et de vulnérabilité. Les passkeys émergent comme une solution sécurisée, intégrant l’authentification biométrique pour simplifier le processus de connexion sur de nombreuses plateformes. Cet article explore les avantages des passkeys, leur fonctionnement et où les utiliser.
Nous avons tous expérimenté ce moment. Vous essayez de vous connecter à votre compte bancaire avec votre identifiant et votre mot de passe, mais vous êtes accueilli par un message d’erreur générique « mot de passe incorrect ». Vous vérifiez de nouveau votre gestionnaire de mots de passe, essayez quelques variations, mais après trop de tentatives échouées, le système vous bloque. Vous vous retrouvez alors dans un long processus de ré-authentification qui implique des questions de sécurité dont vous ne vous souvenez à peine et un formulaire de réinitialisation de mot de passe qui vous informe avec insistance que « le nouveau mot de passe ne peut pas être identique à l’ancien ». Vous finissez par jeter votre appareil de frustration.
Qu’est-ce qu’une Passkey ?
Une passkey est un remplaçant sécurisé et facile à utiliser pour les mots de passe. Elle utilise la sécurité intégrée de votre appareil (comme la reconnaissance faciale, l’empreinte digitale ou un code PIN) pour vous connecter à un site web ou à un service, sans nécessiter de vous souvenir ou de taper quoi que ce soit.
La passkey est ensuite stockée dans un élément sécurisé de votre téléphone ou ordinateur, ce qui signifie que le site web ou le service que vous visitez n’aura pas besoin de stocker de mots de passe sur ses serveurs, réduisant ainsi le risque de violations ou de piratages.
En termes pratiques, on pourrait dire que les passkeys fusionnent le concept de mot de passe et d’authentification à deux facteurs (2FA) en une seule action fluide, mais de manière beaucoup plus sécurisée et moins ennuyeuse.
Comme étape facultative et recommandée, vous pouvez stocker vos passkeys dans un gestionnaire de mots de passe sécurisé tel que Proton Pass, 1Password, Dashlane ou Bitwarden. Cela vous permet de synchroniser et d’accéder à vos passkeys sur plusieurs appareils.
Créer une Passkey
Créer une passkey est simple, et le processus est similaire sur la plupart des plateformes. Pour illustrer, voici comment j’ai configuré une passkey pour Amazon.com et utilisé un gestionnaire de mots de passe pour la stocker…
Tout d’abord, je me connecte à mon compte Amazon et me rends dans la section Connexion et sécurité pour accéder à l’option de passkey.
Ensuite, je clique sur « Ajouter une passkey », ce qui crée une passkey spécifiquement pour Amazon. Comme le montre la capture d’écran, j’avais déjà créé une passkey qui est stockée dans mon trousseau iCloud. Vous pouvez créer plusieurs passkeys pour le même site et les stocker à différents endroits.
Comme j’utilise Proton Pass et que j’ai installé leur extension de navigateur, l’ajout d’une passkey ouvre automatiquement Proton Pass pour la générer et la stocker. Si je n’avais pas Proton Pass installé, mon navigateur web (Chrome, Firefox, etc.) aurait stocké la passkey à la place.
Proton Pass va maintenant sauvegarder cette passkey spécifique pour Amazon, synchronisée avec mon nom d’utilisateur. Puisque cela concerne Amazon, cela fonctionne également pour les comptes Amazon Web Services (AWS).
Pourquoi les Passkeys sont-elles nécessaires ?
Selon les recherches de NordPass, le mot de passe le plus populaire reste « 123456 » en 2023 et 2024. Le deuxième ? « 123456789. » D’autres mots de passe courants sont généralement des chaînes de chiffres séquentiels ou des variations de « qwerty. » Après six ans de la même étude, NordPass conclut que les habitudes de mot de passe des personnes n’ont pas significativement changé.
| Caractéristique | Mot de passe + 2FA | Passkey |
|---|---|---|
| Étapes | Multiples | Unique |
| L’utilisateur doit… | Taper et attendre | Confirmer seulement |
| Sécurité | Bonne | Meilleure (résistante au phishing) |
| Confort | Moyen | Élevé |
Les passkeys sont plus sécurisées car elles éliminent les vulnérabilités liées aux mots de passe, remplaçant ceux-ci par des clés cryptomonnaies qui protègent les utilisateurs des attaques de phishing, du vol d’identifiants et des violations de données. Les passkeys sont protégées par un facteur biométrique unique, tel que votre empreinte digitale ou votre visage, et aucun mot de passe n’est transmis sur Internet ou stocké sur des serveurs externes.
Où puis-je utiliser des Passkeys ?
Bien que tous les services n’ont pas encore mis en œuvre l’authentification par passkey, la plupart des sites populaires l’ont fait. Certains des grands qui la supportent incluent Amazon, Google, Apple, Github, Adobe, Uber, Microsoft, Nintendo, PlayStation Network, eBay et Dropbox, ainsi que de nombreux réseaux sociaux.
Les institutions financières (banques) sont à la traîne par rapport aux grandes entreprises technologiques dans l’adoption des passkeys, mais des sociétés comme PayPal, Revolut et Robinhood les supportent déjà. Dashlane propose un répertoire utile, alimenté par la communauté, de sites web qui ont implémenté la fonction de connexion par passkey.
Vous pouvez déjà créer des passkeys en utilisant des appareils Google, Microsoft ou Apple. De nombreux gestionnaires de mots de passe – tels que Proton Pass, Dashlane, 1Password, Bitwarden et LastPass – prennent également en charge la création de passkeys. Comme mentionné précédemment, utiliser un gestionnaire de mots de passe permet aux passkeys de se synchroniser entre les appareils.
Il est également important de rappeler que les passkeys sont uniques à chaque site. La passkey que vous utilisez pour vous connecter à votre compte Google n’est pas la même que celle utilisée pour Amazon. Cela dit, un conseil utile est de créer une passkey pour votre compte Google et d’utiliser ensuite l’authentification de Google pour vous connecter à d’autres services (si l’option existe). De cette manière, vous pouvez simplement utiliser votre passkey Google tout en accédant à plusieurs sites.
Comment Fonctionnent les Passkeys (Explication Technique)
Les passkeys (techniquement connues sous le nom de Web Authentication ou WebAuthn) sont une technologie qui permet d’authentifier les identifiants sans les stocker sur des serveurs. Elles font partie du projet FIDO2, qui vise à remplacer définitivement les mots de passe comme méthode d’authentification.
Le concept fondamental repose sur une infrastructure à clé publique (PKI). Au lieu de stocker un nom d’utilisateur et un mot de passe, les passkeys sont générées sur un authentificateur contrôlé par l’utilisateur.
Cet authentificateur pourrait être votre smartphone (Face ID, empreinte digitale), votre système d’exploitation (par exemple, Windows Hello), votre navigateur ou une clé de sécurité physique telle qu’une YubiKey ou une Google Titan Key.
Créer une passkey est un processus en 3 étapes :
- L’utilisateur clique sur un bouton sur un client (comme Google) pour créer une passkey. Cela envoie une demande au serveur, qui répond avec une chaîne de défi générée aléatoirement.
- Le client appelle l’API WebAuthn avec le défi du serveur pour créer une paire de clés privée/publique. Cette paire de clés est générée et stockée en toute sécurité sur l’appareil dans un élément sécurisé tel qu’une puce Module de plateforme de confiance (TPM) ou le trousseau iCloud d’Apple. Selon le client, l’utilisateur est invité à utiliser un code PIN ou une authentification biométrique (par exemple, Face ID, Windows Hello ou empreinte digitale).
- Le client envoie la clé publique, l’ID d’identification et le défi signé (en utilisant la clé privée) de retour au serveur. Pour les connexions futures, l’utilisateur s’authentifie via son appareil, qui signe un nouveau défi et l’envoie au serveur. Le serveur valide cela en faisant correspondre l’ID d’identification et la clé publique au défi signé. Si cela correspond, l’utilisateur est connecté avec succès.
Questions Fréquemment Posées
Que se passe-t-il si je perds mon appareil ?
Les passkeys nécessitent une authentification biométrique sur votre téléphone. Même si votre téléphone est volé, les passkeys ne peuvent pas être accédées sans vos données biométriques.
Puis-je partager une passkey avec quelqu’un d’autre ?
Le but des passkeys est de fournir une authentification personnelle, liée à votre identité – pas des identifiants partagés. Mais techniquement, oui, il existe des moyens de partager des passkeys.
Par exemple, Apple permet de partager des passkeys via AirDrop sous certaines conditions. Vous pouvez également partager des passkeys en vous connectant au même gestionnaire de mots de passe.
Les passkeys peuvent-elles prévenir les tentatives de phishing ?
Absolument. Le phishing vise généralement à voler des noms d’utilisateur, des mots de passe ou des données sensibles. Les passkeys ne transmettent pas d’identifiants, les rendant inutiles pour un attaquant même si elles sont interceptées.
Que se passe-t-il si quelqu’un pirate le serveur ou la base de données ?
Au maximum, un attaquant pourrait accéder aux clés publiques stockées dans la base de données. Puisque celles-ci ne peuvent pas être utilisées pour déduire votre clé privée, votre compte reste sécurisé. Si nécessaire, vous pouvez simplement révoquer l’ancienne passkey et en générer une nouvelle.
Que dire de l’utilisation d’un gestionnaire de mots de passe ?
Bien que les gestionnaires de mots de passe soient une bonne amélioration par rapport à la mémorisation des mots de passe, ils reposent toujours sur le stockage d’identifiants sur un serveur. Même les options open-source comme KeePass nécessitent une base de données de mots de passe. En revanche, les passkeys offrent une solution plus sécurisée et simplifiée en éliminant le besoin de gérer ou de stocker plusieurs identifiants.
Y a-t-il des scénarios où les passkeys ne sont pas nécessaires ?
Oui. Bien que les passkeys offrent une alternative plus sécurisée et conviviale par rapport aux mots de passe traditionnels, elles ne sont pas nécessaires – ou même idéales – dans tous les cas. Voici quelques exemples :
- Comptes à faible sécurité
Si un compte ne stocke pas d’informations sensibles (par exemple, un compte de forum temporaire ou un site d’actualités local), un mot de passe fort peut encore être « suffisant ». -
Comptes partagés
Les passkeys sont liées à vous et à votre appareil. Donc, pour les comptes partagés entre plusieurs personnes (comme un compte Netflix partagé ou une connexion d’entreprise), les mots de passe traditionnels fonctionnent encore plus flexiblement – pour l’instant. -
Systèmes d’entreprise ou hérités
Les anciens systèmes d’entreprise, VPN ou outils internes peuvent ne pas prendre en charge les passkeys du tout – certaines industries évoluent lentement lorsqu’il s’agit d’adopter de nouvelles technologies d’authentification. -
Entités non personnelles (NPE)
Les développeurs utilisant des systèmes ou des scripts automatisés peuvent avoir besoin de s’authentifier auprès d’un serveur pour exécuter des tâches telles que l’analyse ou le traitement des données. Dans de tels cas, les passkeys ne sont pas pratiques. Cela pourrait également s’étendre aux logiciels ayant besoin d’utiliser une authentification pour des appels API sécurisés.
De plus, il existe des environnements où l’adoption de passkeys ne convient pas encore. Si vous êtes sur un appareil qui manque de sauvegarde cloud ou de synchronisation de passkeys, comme un ancien smartphone ou un ordinateur public, il peut être difficile, voire impossible, d’utiliser efficacement les passkeys.
Ainsi, bien que les passkeys soient l’avenir de l’authentification, il existe encore des raisons valables de s’en tenir aux mots de passe dans certains contextes – pour l’instant.