Ouvrir le menu principal

MacGeneration

Recherche

C’est quoi, les passkeys ?

Anthony Nelzin-Santos

mercredi 12 juillet 2023 à 20:30 • 33

Logiciels

Le rêve d’un monde sans mots de passe n’est pas encore une réalité, mais n’est plus complètement illusoire. Après de longues années de gestation, les passkeys peuvent maintenant être utilisés sur quelques-uns des plus grands sites de la planète. L’alliance FIDO assure qu’elles permettront de « réduire la dépendance excessive aux mots de passe ». Comment les passkeys fonctionnent-elles ? Comment les utiliser ? Peut-on vivre dans un monde sans mots de passe ? Suivez le guide !

Image MacGeneration.

Pourquoi faudrait-il remplacer les mots de passe ?

Détournement de clic, hameçonnage, cryptojacking, rançongiciel, chevaux de Troie… la plupart des menaces informatiques proviennent désormais du web. Des milliards de comptes ont été compromis par le piratage de services en ligne, comme en témoigne la base de données Have I Been Pwned?, mais selon l’édition 2023 du Data Breach Investigation Report de l’opérateur américain Verizon, 74 % des brèches impliquent le facteur humain. À quoi bon créer les mots de passe les plus complexes de la planète si vous les donnez avec le sourire ?

L’authentification à plusieurs facteurs ne résout-elle pas ces problèmes ?

Le trousseau intégré au navigateur élimine le besoin de mémoriser (et réutiliser) les mots de passe. Les gestionnaires spécialisés comme 1Password et Secrets désarment la plupart des attaques par phishing. La multiplication des facteurs d’authentification réduit l’efficacité des attaques frontales… sauf quand elle expose un nouveau front.

Les codes d’authentification envoyés par SMS semblent sécurisés, mais le SIM swapping reste désespérément simple, les plateformes téléphoniques employées par les opérateurs refusant de prendre la mesure du piratage psychologique… et de la corruption. Les codes générés par les applications d’authentification peuvent être copiés, et donc collés dans un formulaire illégitime.

Comment fonctionnent les passkeys ?

La sécurité des solutions d’authentification repose sur la combinaison de ce que vous savez (comme un mot de passe), ce que vous avez (comme votre carte SIM), voire ce que vous êtes (comme votre empreinte digitale). La spécification FIDO2, développée conjointement par l’alliance FIDO et le W3C, vise à systématiser ces facteurs d’authentification avec les standards WebAuthn et CTAP.

WebAuthn repose sur l’échange de clés cryptographiques entre l’utilisateur et le serveur. Lors de la création d’un compte, l’utilisateur envoie une clé publique au serveur et conserve une clé privée. Les deux clés sont liées mathématiquement, mais la clé publique ne permet pas de reconstituer la clé privée. Lors de la connexion, le serveur envoie des données à l’utilisateur, qui les retourne après les avoir signées avec sa clé privée. Le serveur vérifie la signature avec la clé publique, et si tout correspond, l’utilisateur est authentifié.

Les attaques frontales sont inutiles, puisque le serveur ne conserve aucune information secrète. Les attaques par hameçonnage sont impossibles, puisque l’utilisateur ne communique jamais sa clé privée. L’« authentificateur », qui peut prendre la forme d’une clé USB de sécurité (ce que vous avez) déverrouillée par un code PIN (ce que vous savez) ou une empreinte digitale (ce que vous êtes), veille au grain et prévient tout détournement.

Les systèmes d’exploitation et les navigateurs incorporent eux-mêmes WebAuthn, et les appareils munis de capteurs biométriques et d’« enclaves sécurisées » peuvent eux-mêmes jouer le rôle d’authentificateur. Enrobez la technique dans une jolie interface, ajoutez un soupçon de marketing, et les clés cryptographiques un peu rébarbatives deviennent les passkeys qui vont sauver le monde.

Test de la Yubikey 5ci, une clé de sécurité pour Mac et iPhone

Test de la Yubikey 5ci, une clé de sécurité pour Mac et iPhone

Les passkeys sont-elles vraiment sûres ?

Cet article est réservé aux membres du Club iGen


Rejoignez la plus grande communauté Apple francophone et soutenez le travail d'une rédaction indépendante. Le Club iGen, c'est:

  • des articles de qualité rien que pour vous
  • un podcast exclusif
  • pas de publicité
  • un site dédié !

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Promo : forfait 5G 80 Go à 6,99 € par mois !

Partenaire


Tim Cook envoie ses félicitations à Donald Trump pour son nouveau mandat

06/11/2024 à 22:00

• 18


Plus de 1 000 soutiens pour notre campagne de sociofinancement, et si on allait jusqu’à 100 000 € ?

06/11/2024 à 20:40

• 53


Sherlocking des apps : jusqu'où peut aller Apple avant d'aller trop loin ?

06/11/2024 à 20:30

• 10


macOS 15.2 Public beta disponible pour tous

06/11/2024 à 20:15

• 2


Apple devrait vraiment prendre en charge le MTP en USB, qui est (encore) cassé avec la Nintendo Switch

06/11/2024 à 18:50

• 6


Retroactive ne portera pas Aperture ni iTunes sur macOS Sequoia

06/11/2024 à 18:00

• 15


Magic Mouse ou Magic Trackpad assorti à l’iMac M4, il faut choisir

06/11/2024 à 15:45

• 34


iPhone 16 Pro : pour 568 $ de composants, 6 % de plus que pour l’iPhone 15 Pro

06/11/2024 à 14:08


IA : Apple voudrait l’expertise de Foxconn pour son infrastructure serveur

06/11/2024 à 11:45

• 43


Microsoft Office pour Mac est à prix cassé chez Godeal24 ! 📍

06/11/2024 à 09:33


L'écran des Raspberry Pi passe au 720p, c'est le futur

06/11/2024 à 09:00

• 11


Refurb : jusqu'à -370 € sur l'Apple Studio Display 5K avec pied ou VESA 🆕

06/11/2024 à 06:57

• 35


Nouvelle vague de licenciement chez Mozilla, qui remercie 30 % de son personnel

05/11/2024 à 22:00

• 44


Intel pourrait (encore) abandonner ses cartes graphiques

05/11/2024 à 21:30

• 19


Apple prévient les investisseurs que ses futurs produits pourraient ne pas être aussi rentables que l'iPhone

05/11/2024 à 21:00

• 52