Les mots de passe sont aujourd’hui considérés comme une plaie sur internet, car les gens ont trop tendance à utiliser des mots de passe simples et faciles à deviner, ou à réutiliser le même mot de passe partout (ce qui fait que dès qu’un compte est compromis, les autres comptes utilisant le même mot de passe le sont également).
Pour pallier ce problème, il y a les gestionnaires de mots de passe, ainsi que les systèmes d’authentification à deux facteurs (comme les codes de vérification envoyés par SMS). Mais la FIDO Alliance, a travaillé sur une solution encore plus radicale : la fin des mots de passe.
Comme nous l’évoquions dans un précédent article, le mécanisme de connexion imaginé par cette alliance ne se base pas sur des mots de passe, mais plutôt sur des clés cryptographiques ou passkeys. À la création d’un compte sur un service en ligne prenant en charge cette technologie, il n’y a donc pas enregistrement d’un nouveau mot de passe, mais la création d’une clé cryptographique qui sera stockée sur l’appareil (prenant aussi en charge cette technologie) de l’utilisateur.
Et lorsque l’utilisateur souhaite se connecter à son compte, il ne saisit pas de mot de passe, mais vérifie la clé en utilisant le système de déverrouillage intégré à son appareil, prouvant ainsi son identité. Sur un smartphone, cela pourrait être un scanner d’empreintes digitales ou la saisie d’un code PIN. C’est comme utiliser un gestionnaire de mots de passe, mais sans les mots de passe.
Outre le fait que ces passkeys sont plus sûrs que les traditionnels mots de passe, ils sont également plus pratiques pour l’utilisateur. De plus, la technologie devrait être très accessible puisque celle-ci est soutenue par Apple, Google, et Microsoft, qui contrôlent les principales plateformes pour smartphones et pour ordinateurs.
Les passkeys n’ont pas que des avantages
Mais malheureusement, cette technologie destinée à mettre fin aux mots de passe n’a pas que des avantages. En effet, comme l’a souligné un article récemment publié par Fast Compagny, l’adoption de ce système nous rendra encore plus dépendants des géants du numérique.
En effet, une fois que vous avez commencé à utiliser les passkeys sur un écosystème, par exemple celui de Google ou celui d’Apple, vous risquez d’être bloqué sur cet écosystème. Ces clés pourraient être synchronisées sur un compte Google ou un compte Apple (un peu comme les gestionnaires de mots de passe déjà proposés par ces deux entreprises), mais vous aurez du mal à basculer d’un écosystème à un autre.
Cité par Fast Compagny, Andrew Shikiar, directeur exécutif de l’Alliance FIDO, a admis qu’en l’état actuel, il n’existe pas encore de moyen de transférer l’ensemble des passkeys d’un écosystème vers un autre.
« Nous n’avons pas vraiment de méthode d’exportation par lots pour le moment », a-t-il expliqué. « Je pense que c’est probablement une future itération. »
Selon les explications de Fast Compagny, c’est pour le moment la possibilité de transférer les passkeys un par un qui est dans les tuyaux. « […] si vous créez un compte avec un iPhone et que vous souhaitez vous connecter sur un PC Windows, Microsoft peut créer sa propre clé d’authentification pour ce service une fois que vous vous êtes authentifié via votre téléphone », lit-on dans l’article.
Sam Srinivas, directeur de la gestion des produits de Google pour l’authentification sécurisée, qui est aussi le président de l’alliance FIDO, assure également que l’objectif n’est pas de verrouiller les utilisateurs sur les plateformes qu’ils utilisent.
Néanmoins, si l’alliance avance prudemment, c’est par crainte que si elle lance une fonctionnalité permettant de transférer par lots les passkeys, des hackers puissent profiter de ce mécanisme. « […] si on donne un mécanisme sans grand soin à quelqu’un pour exporter toutes ces clés, vous savez qui va se présenter en premier pour ça », a expliqué Srinivas.
Une solution serait de laisser les gestionnaires de mots de passe tiers, qui ne sont pas réservés à un écosystème en particulier, gérer les passkeys des utilisateurs.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
… “Une solution serait de laisser les gestionnaires de mots de passe tiers, qui ne sont pas réservés à un écosystème en particulier, gérer les passkeys des utilisateurs.”
Exactement et c’est de loin la meilleure solution si ces tiers sont certifiés par des organismes indépendants. Cela existe déjà, il suffit de chercher un peu sur le site de l’ANSSI.
Et c’est exactement pour la raison de l’article que la Fido alliance a inventé le « Fido multiple devices » qui se veut être le futur système « passwordless »
J’ai l’impression qu’il y a un petit train de retard sur presse-citron là, non ?