Les "passkeys" d'Apple pourraient enfin mettre un terme aux mots de passe pour de bon

Apple a fait la démonstration de sa nouvelle norme de connexion biométrique à l'occasion de la WWDC

Apple a présenté ses passkeys à l'édition 2022 de la WWDC, une nouvelle norme de connexion biométrique qui pourrait enfin mettre un terme aux mots de passe pour de bon. Comme Apple l'explique : « les passkeys utilisent les informations d'identification de la clé publique iCloud Keychain, éliminant ainsi le besoin de mots de passe. Au lieu de cela, ils s'appuient sur une identification biométrique telle que Touch ID et Face ID dans iOS, ou sur une confirmation spécifique dans macOS pour générer et authentifier des comptes. En tant qu'authentificateur, votre appareil Apple génère une paire de clés publique-privée unique pour chaque compte qu'il crée sur un service. L'authentificateur conserve la clé privée et partage sa clé publique avec le serveur, appelé partie utilisatrice ».

L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, il est confronté à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont il peut faire l'objet.

De nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues. Dans le cadre de l'édition 2020 de la journée du mot de passe,

Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes.


Face à la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.

Aussi, depuis septembre 2021, toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe du compte pour disposer d'une autre alternative de sécurité. Le vice-président de Microsoft, Vasu Jakka, l'a annoncé dans un billet de blog :

« Nous sommes censés créer des mots de passe complexes et uniques, les mémoriser et les modifier fréquemment, mais personne n'aime faire cela non plus. Dans un récent sondage sur Twitter de Microsoft, une personne sur cinq a déclaré qu'elle préférait accidentellement "répondre à tous" – ce qui peut être monumentalement embarrassant – plutôt que de réinitialiser un mot de passe(...).

« À partir d'aujourd'hui, vous pouvez désormais supprimer complètement le mot de passe de votre compte Microsoft. Utilisez l'application Microsoft Authenticator, Windows Hello, une clé de sécurité ou un code de vérification envoyé à votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc. Cette fonctionnalité sera déployée dans les semaines à venir.

« Passez à une authentification sans mot de passe en quelques clics rapides ».

L'alternative d'Apple

Les passkeys sont basées sur l'API d'authentification Web (WebAuthn), une norme qui utilise la cryptographie à clé publique au lieu des mots de passe pour authentifier les utilisateurs sur les sites Web et les applications, et sont stockées sur l'appareil plutôt que sur un serveur Web. Le remplacement du mot de passe numérique utilise Touch ID ou Face ID pour la vérification biométrique, ce qui signifie qu'au lieu d'avoir à saisir une longue chaîne de caractères, une application ou un site Web auquel vous vous connectez enverra une demande d'authentification à votre téléphone.

Au cours de sa démonstration WWDC de la technologie sans mot de passe, Apple a montré comment les clés d'accès sont sauvegardées dans le trousseau iCloud et peuvent être synchronisées sur Mac, iPhone, iPad et Apple TV avec un cryptage de bout en bout. Les utilisateurs pourront également se connecter à des sites Web et à des applications sur des appareils non Apple à l'aide d'un iPhone ou d'un iPad pour scanner un code QR et Touch ID ou Face ID pour s'authentifier.

« Parce qu'il suffit d'un simple clic pour se connecter, c'est à la fois plus facile, plus rapide et plus sécurisé que presque toutes les formes d'authentification courantes aujourd'hui », a déclaré Garrett Davidson, ingénieur Apple de l'équipe Authentication Experience,

Apple n'est pas seul dans ses efforts pour tuer le mot de passe. Le mois dernier, Google et Microsoft se sont associés à Apple pour étendre la prise en charge des connexions sans mot de passe sur les mobiles, les ordinateurs de bureau et les navigateurs. Ce nouvel engagement collectif a été salué par Jen Easterly, directrice de la U.S. Cybersecurity and Infrastructure Security Agency (CISA), qui à l'époque l'a qualifié de « type de pensée avant-gardiste qui, en fin de compte, assurera la sécurité des Américains en ligne ».

C'est par le biais de la FIDO (pour Fast IDentity Online), une alliance qui existe depuis 2013, que les entreprises se sont exprimées. En collaboration avec le World Wide Web Consortium, FIDO travaille à la création et à la mise en œuvre de normes pour un Internet largement exempt de mots de passe. Selon le blog de l'alliance, ces normes sont déjà supportées par des milliards d'appareils et par tous les navigateurs web modernes.

Concrètement, il est prévu d'implémenter la prise en charge des normes de connexion FIDO sans mot de passe sur toutes les plateformes. Google mentionne Chrome, ChromeOS et Android. La mise en œuvre devrait avoir lieu cette année encore. Au lieu d'un mot de passe, une autorisation FIDO, appelée passkey, pourra être enregistrée sur le smartphone de l'utilisateur. Ce code confirme l'inscription à un service en ligne. L'autorisation de paiement par carte de crédit fonctionne de manière similaire avec 3D-Secure 2.0.

« Dans un effort conjoint pour rendre le Web plus sûr et utilisable par tous, Apple, Google et Microsoft ont annoncé aujourd'hui leur intention d'étendre la prise en charge d'une norme commune de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium. La nouvelle fonctionnalité permettra aux sites Web et aux applications d'offrir aux consommateurs des connexions sans mot de passe cohérentes, sécurisées et faciles sur tous les appareils et plates-formes.

« L'authentification par mot de passe uniquement est l'un des plus gros problèmes de sécurité sur le Web, et la gestion d'un si grand nombre de mots de passe est fastidieuse pour les consommateurs, ce qui conduit souvent les consommateurs à réutiliser les mêmes dans tous les services. Cette pratique peut entraîner des prises de contrôle de compte coûteuses, des violations de données et même des identités volées. Alors que les gestionnaires de mots de passe et les anciennes formes d'authentification à deux facteurs offrent des améliorations progressives, il y a eu une collaboration à l'échelle de l'industrie pour créer une technologie de connexion plus pratique et plus sécurisée....