C’est quoi, les passkeys ?

Anthony Nelzin-Santos |

Le rêve d’un monde sans mots de passe n’est pas encore une réalité, mais n’est plus complètement illusoire. Après de longues années de gestation, les passkeys peuvent maintenant être utilisés sur quelques-uns des plus grands sites de la planète. L’alliance FIDO assure qu’elles permettront de « réduire la dépendance excessive aux mots de passe ». Comment les passkeys fonctionnent-elles ? Comment les utiliser ? Peut-on vivre dans un monde sans mots de passe ? Suivez le guide !

Image MacGeneration.

Pourquoi faudrait-il remplacer les mots de passe ?

Détournement de clic, hameçonnage, cryptojacking, rançongiciel, chevaux de Troie… la plupart des menaces informatiques proviennent désormais du web. Des milliards de comptes ont été compromis par le piratage de services en ligne, comme en témoigne la base de données Have I Been Pwned?, mais selon l’édition 2023 du Data Breach Investigation Report de l’opérateur américain Verizon, 74 % des brèches impliquent le facteur humain. À quoi bon créer les mots de passe les plus complexes de la planète si vous les donnez avec le sourire ?

L’authentification à plusieurs facteurs ne résout-elle pas ces problèmes ?

Le trousseau intégré au navigateur élimine le besoin de mémoriser (et réutiliser) les mots de passe. Les gestionnaires spécialisés comme 1Password et Secrets désarment la plupart des attaques par phishing. La multiplication des facteurs d’authentification réduit l’efficacité des attaques frontales… sauf quand elle expose un nouveau front.

Les codes d’authentification envoyés par SMS semblent sécurisés, mais le SIM swapping reste désespérément simple, les plateformes téléphoniques employées par les opérateurs refusant de prendre la mesure du piratage psychologique… et de la corruption. Les codes générés par les applications d’authentification peuvent être copiés, et donc collés dans un formulaire illégitime.

Comment fonctionnent les passkeys ?

La sécurité des solutions d’authentification repose sur la combinaison de ce que vous savez (comme un mot de passe), ce que vous avez (comme votre carte SIM), voire ce que vous êtes (comme votre empreinte digitale). La spécification FIDO2, développée conjointement par l’alliance FIDO et le W3C, vise à systématiser ces facteurs d’authentification avec les standards WebAuthn et CTAP.

WebAuthn repose sur l’échange de clés cryptographiques entre l’utilisateur et le serveur. Lors de la création d’un compte, l’utilisateur envoie une clé publique au serveur et conserve une clé privée. Les deux clés sont liées mathématiquement, mais la clé publique ne permet pas de reconstituer la clé privée. Lors de la connexion, le serveur envoie des données à l’utilisateur, qui les retourne après les avoir signées avec sa clé privée. Le serveur vérifie la signature avec la clé publique, et si tout correspond, l’utilisateur est authentifié.

Les attaques frontales sont inutiles, puisque le serveur ne conserve aucune information secrète. Les attaques par hameçonnage sont impossibles, puisque l’utilisateur ne communique jamais sa clé privée. L’« authentificateur », qui peut prendre la forme d’une clé USB de sécurité (ce que vous avez) déverrouillée par un code PIN (ce que vous savez) ou une empreinte digitale (ce que vous êtes), veille au grain et prévient tout détournement.

Les systèmes d’exploitation et les navigateurs incorporent eux-mêmes WebAuthn, et les appareils munis de capteurs biométriques et d’« enclaves sécurisées » peuvent eux-mêmes jouer le rôle d’authentificateur. Enrobez la technique dans une jolie interface, ajoutez un soupçon de marketing, et les clés cryptographiques un peu rébarbatives deviennent les passkeys qui vont sauver le monde.

Test de la Yubikey 5ci, une clé de sécurité pour Mac et iPhone

Test de la Yubikey 5ci, une clé de sécurité pour Mac et iPhone

Les passkeys sont-elles vraiment sûres ?

avatar deltiox | 

Passkey c’est une sorte de cloud pour moi
Le cloud C’est un serveur mais pas chez soit
Le passkey, c’est un peu comme un « mot de passe » mais pas chez soit

Le jour ou on veut reprendre la main sans le service qui gérait les passkeys…

avatar cecile_aelita | 

@deltiox

Vous êtes rapide pour lire l’article vous 🤭😋😋!!

avatar deltiox | 

@cecile_aelita

Bien
Dans ce cas utilisez le service de passkey d’une société A pour vous authentifier au service XYZ
=> en théorie vous avez votre clé privée
Certes

Maintenant pour le même service XYZ disons que vous vouliez utiliser le service de passkey de la société B
=> et bien la, j’aimerais voir comme la transition va se passer en pratique
Je parierais sur il me faut contacter le service XYZ pour leur demander un Reset de mon accès

Et s’il n’y a pas de transition prévue entre Société À et Société B…ben … ça ressemble quand même à « mes informations / moyens de connexion » (oui ce n’est pas un mot de passe d’où mes guillemets ) sont dépendants de la société A

avatar Bicus | 

"Les passkeys sont-elles synchronisées ?

Les passkeys créés sur un appareil sont synchronisées avec vos autres appareils par l’intermédiaire du trousseau iCloud. Google utilise son propre gestionnaire de mots de passe pour synchroniser les clés avec les appareils Android, mais pas encore avec Chrome, qui ne peut pas accéder au trousseau iCloud. Ce n’est pas nécessairement un problème : vous pouvez créer plusieurs passkeys pour le même compte (et même plusieurs passkeys pour plusieurs comptes sur le même service) et vous connecter indifféremment avec l’une ou l’autre. Dans un sens, c’est même plus sécurisé, car cela permet de révoquer une passkey sans toucher aux autres."

avatar deltiox | 

@Bicus

Je n’ai pas vu cela en pratique encore
Pour le moment je n’ai vu que des situations où on est lié à un service et pas avec plusieurs en même temps
Dont acte je vais regarder de nouveau

avatar Tomtomrider | 

@deltiox

Mon compte Twitter a deux passkey, un sur le trousseau iCloud, un dans le navigateur ARC.

avatar cecile_aelita | 

@deltiox

Mon commentaire était juste dans le sens où l’article a été publié à 20h30 et à 20h35 vous aviez déjà commenté 😋! D’où mon : vous êtes rapide pour lire vous 😋

avatar 6ix | 

@deltiox

Non, la logique est de créer une passkey par appareil (ou service/plateforme tel qu’iCloud).

Les passkeys offrent une certaine flexibilité dans la mesure où elles permettent d’être synchronisées, et en cela c’est une simplification pour l’utilisateur. Mais avant cette fonctionnalité, il fallait bien créer une paire de clé par authentificateur (appareil), sans que la clé privée ne puisse quitter cet espace sécurisé.

avatar Tibimac | 

@deltiox

Soit je suis trop bête pour comprendre ce que vous cherchez à expliquer soit c'est vous qui n'avez rien compris au fonctionnement des passkeys ^^.

avatar deltiox | 

@Tibimac

He bien pour simplifier, je trouve que remplacer un mot de passe et un autre critère (type sms par exemple ) par un service de passkey donc une clé privée ET un service d’un tiers de confiance ne me parait pas si bien que cela quand on veut quitter ce tiers de confiance

Et je compare cela au « cloud » parée de bien des vertus mais qui a mon sens revient à déporter chez un tiers

Si ce n’est pas assez clair alors retour à votre commentaire / impression

avatar clapouli | 

@deltiox

Je vous conseille cordialement de relire l’article 😄 (très bien écrit par ailleurs)

avatar Encoreplusgrincheux | 

A partir ou on peut acceder a la cle privée juste avec le code du telephone je ne vois aucun interet a ce système. Ou alors j’ai rien compris, ce qui n’est pas inenvisageable. Parce que si je me fait piquer mon tel ca veut dire que je ne peux plus acceder aux sites non ? (Ctap2).

avatar Furious Angel | 

Très déçu d’apprendre l’absence totale de lien avec Alicia Keys

avatar John McClane | 

@Furious Angel

Moi aussi. Je me désabonne.

avatar cecile_aelita | 

@Furious Angel

Moi qui pensait que la marque de brioches Pasquier voulait se donner un style plus américain 🤭!
Je sors toute seule ….👉🚪

avatar lepoulpebaleine | 

@Furious Angel

🤣🤣🤣

avatar brunnno | 

Rien compris… ! 🤔

Faudrait un jour essayer de se mettre au niveau des gens « normaux »… ☝🏽

J’utilise un mot de passe (sauvegardé avec le trousseau), c’est quoi la différence avec passkey ????

avatar deltiox | 

@brunnno

Passkey propose un échange clé publique / clé privée (votre secret ) avec un service qui lui est accepté par disons le site web ou vous voulez vous authentifier

En gros au lieu de taper un mot de passe
Vous dites a un service que vous allez prouver votre identité via un tiers de confiance qui lui même vérifiera que vous avez bine toujours votre clé privée

Un attaquant qui essaierait d’attaquer votre tiers de confiance n’aurait donc pas accès à un « mot de passe »

avatar fleeBubl | 

@deltiox

Comprend pas en quoi c’est un tier de confiance si en l’attaquant, on ne peut rien trouver d’utile … autant s’en passer, alors !

avatar deltiox | 

@fleeBubl

Méthode 1 => vous utilisez un mot de passe et disons que ce mot de passe est « trouvé » ou intercepté par un attaquant
=> votre attaquant peut se faire passer pour vous

Méthode 2 => un tiers de confiance vérifie votre identité (par un autre moyen ) mais dans la procédure utilisée par ce tiers il n’y a pas de mot de passe
Si un attaquant « attaque » ce tiers, il ne peut pas trouver votre mot de passe. Il ne peut pas non plus (man in the middle ) intercepter le mot de passe car il n’y en a pas d’utilisé par ce tiers

Et il n’est pas le tiers lui même et ne sait pas ou ne peut ps rejouer le mechanisme qu’utilise ce tiers pour vérifier votre clé privée et rejouer une authentification à la place des services du tiers

avatar fleeBubl | 

@deltiox

Donc si je joue moi-même l’algo de confirmation, que moi-seul connais… par une tierce méthode contenu dans mon cerveau ultra-puissant – car lui seul connaît l’ingrédient secret 🤫 que moi-mémé je suis incapable de trouver tout seul, sans faire des calculs hyper difficile 😥 … bref ! Ça marche ? 👌

avatar deltiox | 

@fleeBubl

Je suis pas sûr de vous suivre

Disons que le but est de selon moi remplacer les mots de passe (que de vilains attaquants pourraient découvrir ) par d’autre méthodes négociées avec des tiers de confiance ( se basant par exemple sur touch ou Face ID entre autres possibilités et in fine l’utilisation d’une paire clé publique clé privée )

Personnellement je n’ai pas entièrement confiance dans les moyens de changer facilement de tiers de confiance (impression fondée sur un essai précédent et semble t il plus fondee en théorie actuellement)

avatar fleeBubl | 

@deltiox

Oui, effectivement, c’est compréhensible. Que de laisser la confirmation à un seul tier de confiance, pour l’ensemble de ses clefs d’accès à tous ses sites perso, puisse constituer un problème. Et que de doubler systématiquement toutes ses clefs avec un autre tier puisse devenir assez… pénible 😥

Mais le problème vient d’abord de la difficulté à modifier tous ses mots de passe pour l’ensemble de ses sites… 😥

Alors, mon questionnement est entre ces deux modèles d’identification : quelle « façon de faire » en sorte de ne Jamais utiliser le même mot de passe pour un site, ou bien, jamais le même tier de confiance et donc jamais la même clef 😥

avatar deltiox | 

@fleeBubl

Et bien cela ressemble furieusement à un effet « lapin »
On a des clés privées un peu partout (surtout si on a plusieurs appareils ) et il faut essayer de ne pas les perdre
Donc en pratique je pense que cela passera par des logiciels gestionnaires de ces clés (1 password et autres )

Cordialement

Raphaël

avatar celebration | 

@brunnno

Pareil, j’ai laissé tombé en cours de lecture…

avatar F7544 | 

@brunnno

Une image qui peut aider est le coffre fort de banque à deux clefs.
La banque a une clef (la clef publique) et vous avez une clef (clef privée).

Cette clef privée ne peut être reproduite mais peut être prêter à un tiers.

Mais vous pouvez aller plus loin :

Imaginer que vous ayez deux portes pour accéder au même contenu du coffre (votre compte).
La clef de la banque (publique) est la même mais la porte de gauche (le Macintosh) utilise une clef privée différente de la clef privée de la porte de droite (votre iPhone)
Vous perdez votre téléphone, vous pouvez révoquer la clef privée de la porte de droite )porte condamnée tout en maintenant l’accès par la porte de gauche (le mac).
Au passage, vous avez créé une troisième porte avec votre Apple Watch.

Sinon vous pouvez créer une clef publique intermédiaire : un second coffre dans le premier
L’ensemble de vos appareils : Mac, iPhone, Apple Watch créent leur propre clef publique en créant un groupe de confiance et utilise la clef privée propre à chaque appareil. L’exemple d’utilisation c’est le chiffrage de bout en bout de votre compte iCloud.

Dans la pratique cela ne marche pas du tout comme cela mais l’idée est là. 🤓

avatar Encoreplusgrincheux | 

@F7544

Merci !
Je crois que j’ai compris maintenant.

avatar DahuLArthropode | 

@F7544

Ça me semble une bonne explication pour le service rendu (mais il faudrait y ajouter quelque chose pour rendre compte du fait que la clé privée ne peut pas être interceptée ou volée ou dupliquée — si je comprends bien, elle est dans le téléphone, on se rend sur place avec son téléphone pour ouvrir la porte et il fait du coup pouvoir aussi déverrouiller le téléphone).

avatar Mac1978 | 

Ça sent le retour du « dongle »…

avatar Alex Giannelli | 

Il me semble que Binance utilise désormais un passkey ? Si c’est bien cela, c’est bien pratique.

avatar Brice21 | 

Les passkeys sont super mais la plupart des services permettent en plus de se connecter avec un login, password et optionellement un second facteur d’authentification. Donc les malandrins continueront à vous pirater comme avant en ignorant les passkeys.

Je ne vois donc pas l’intérêt, tant que seuls les passkeys permettront de se connecter aux services. A part peut être de ne pas devoir se souvenir de votre password, au risque de l’oublier totalement…

avatar DahuLArthropode | 

@Brice21

Quand ils se seront généralisés, on peut imaginer que les indispensables solutions alternatives et les solutions de récupération pourront, en contrepartie, devenir plus exigeantes et contraignantes qu’aujourd’hui, et donc impraticables pour les malandrins.

avatar Lameth | 

Comment faire si on passe à un androïd plutôt qu’un iPhone ou que,l’on se fait voler son device gérant les passkeys ?

Même si l’augmentation de la sécurité est plus que louable (surtout vu comme la majorité des gens sont des buses complètes avec leurs mots de passes), se retrouver « locké » sous un prestataire pour la gestion de ses passkeys (Apple, 1Password, etc…) est complètement rédhibitoire à la technologie. Perso je continue avec les mots de passes aléatoires de 100 caractères, différents pour chaque site. C’est peut être moins sécurisé mais au moins je suis le seul maître à bord.

CONNEXION UTILISATEUR