29 novembre 2023

Par Stéphane Delhommeau, responsable des services d’hébergement de Proginov

Une multitude de clés bien rangées pour symboliser les mots de passe.

Les passkeys mettent vos mots de passe aux placards. Cette nouvelle forme d’authentification, déjà plébiscitée par les géants de la tech fait beaucoup parler. Mais comment cela fonctionne-t-il ? Décryptage.

Malgré la mise en place de systèmes basés sur des mots de passe à usage unique et la double authentification, le constat est sans appel : la sécurité des comptes laisse à désirer et les risques de piratage et d’hameçonnage restent très élevés. Les passkeys ne sont pas une solution parfaite, mais octroient tout de même plus de garanties que les mots de passe traditionnels.

Comment ça marche ?

Chaque téléphone, chaque ordinateur, possède un identifiant unique (un peu comme une carte d’identité) et lorsque vous arriverez sur un site ou une application celui-ci vous demandera si vous voulez utiliser vos passkeys pour vous connecter. Si vous dites oui, deux choses :

  1. Une notification apparaîtra pour déverrouiller votre téléphone comme d’habitude.
  2. Voilà c’est tout, vous serez connecté. Mais en arrière-plan votre appareil aura créé un duo de clés (une clé privée qui restera dans votre téléphone et une clé publique qui sera enregistrée sur le site).


À chaque fois que vous retournerez sur le site, il vous suffira de déverrouiller votre téléphone pour que le site fasse le lien entre votre clé privée et votre clé publique. C’est un peu le principe de deux pièces de puzzle qui ne peuvent aller qu’ensemble, ce qui en fait un système beaucoup plus sûr que les mots de passe. Sur un ordinateur public, cela passera par un QR code qu’il faudra scanner avec son téléphone.

Cette technique peut-elle vraiment remplacer les mots de passe un jour ?

Peut-être mais pas tout de suite ! Ce qui joue en faveur de ce nouveau dispositif ce sont les géants de la tech tels qu’Apple, Google et Microsoft qui travaillent à cette occasion main dans la main pour établir des standards. Mais n’oublions pas que cette technologie s’appliquera aux produits disposant de moyens de reconnaissance biométrique (faciale ou empreinte digitale), ce qui reste un prérequis pour rendre les passkeys fiables. Le revers de la médaille, c’est que comme ces clés sont stockées dans votre téléphone de façon très sécurisée, et qu’il est associé à votre ordinateur qui n’est lui-même pas doté de reconnaissance digitale ou faciale, si vous perdez votre téléphone, l’association des deux clés ne se fait plus. Or, pour le moment, aucune procédure standard n’est établie pour recréer la passkey avec un autre appareil mobile. L’opération de récupération de passkey est donc compliquée.