Serait-ce la fin de nos mots de passe ? Depuis des mois, Apple, Google, Microsoft et d’autres géants du web tentent de réinventer l’authentification sur le web en utilisant une nouvelle méthode : les clés d’accès (ou clés d’accès en bon français). Leur objectif est d’aider à éliminer la réputation redoutée des mots de passe et de la sécurité.
L’authentification avec une combinaison classique nom d’utilisateur + mot de passe comporte de nombreux risques. Les internautes ont souvent tendance à réutiliser le même mot de passe sur plusieurs sites, et le classement des pires mots de passe prouve année après année qu’ils sont très sécurisés. En conséquence, des dizaines de comptes risquent d’être piratés si la moindre information est perdue. Nombreux sont les responsables qui ont besoin de renforcer la sécurité, mais les grandes entreprises du web veulent désormais aller plus loin avec les clés d’accès.
Qu’est-ce qu’une clé d’accès ?
En termes simples, une clé de connexion est une clé cryptographique stockée sur votre appareil (ordinateur, téléphone, tablette) qui vous permet de vous identifier sur le site. Ces fichiers sont clairement cryptés et ne sont accessibles qu’après vérification des informations d’identification de l’utilisateur.
Lorsque vous vous inscrivez sur un site proposant une authentification via une clé de connexion, deux clés sont générées : une clé publique qui reste sur les serveurs du site et une clé privée qui est stockée sur votre appareil. Lorsque vous vous reconnecterez, le site créera une sorte de “problème” cryptographique pour votre appareil que seule votre clé privée pourra résoudre. Votre voiture vous demandera de vous identifier via un code PIN, une empreinte digitale ou une reconnaissance faciale pour vérifier que c’est bien vous devant l’écran.
C’est toute l’intelligence du système. Au lieu de mémoriser un mot de passe long et compliqué, déverrouiller votre téléphone tous les jours suffit à vous identifier. Ensuite, le système d’exploitation résoudra le “problème” et confirmera la reconnaissance. Par conséquent, les mots de passe disparaissent face à une authentification simplifiée (gérée par le système d’exploitation) et sécurisée (protégée par chiffrement). Cela rend le piratage plus difficile car une personne doit avoir un moyen de vérifier l’appareil et l’identité. Chaque clé est liée à une URL spécifique, rendant le phishing en créant un faux site presque impossible.
Notez que dans le cas de l’authentification biométrique, l’empreinte digitale (ou le visage) elle-même n’est jamais envoyée à l’hébergeur du site. Le serveur ne voit que l’authentification via le système d’exploitation.
D’où est-ce que sa vient?
L’Association Fido est responsable de la normalisation du protocole d’identification des clés. Derrière le jargon marketing utilisé par Apple, Google et d’autres sociétés se cache l’interface de programmation WebAuthn, qui permet d’établir un lien entre l’authentification alimentée par le système d’exploitation et le site associé.
Et est-ce que ça marche sur tous les appareils ?
Comme la plupart des lecteurs attentifs l’ont peut-être remarqué, les clés sont stockées localement sur la machine par défaut. C’est malheureux à notre époque où nous sommes si connectés depuis nos smartphones, tablettes et ordinateurs. Heureusement, les partisans du système ont envisagé cette option.
Les clés d’accès peuvent être synchronisées entre les appareils d’un même écosystème. Apple a la possibilité de les stocker dans iCloud Keychain, les rendant automatiquement disponibles sur votre iPhone, iPad et/ou Mac. Google publie actuellement son propre gestionnaire de mots de passe pour Chrome et Android. Si vous essayez de vous connecter depuis une machine qui n’a pas accès à votre compte, pas d’inquiétude : le site vous permet de vous connecter par téléphone en envoyant une notification ou en scannant un QR code.
Malheureusement, il n’existe pas encore de moyen de synchroniser les clés d’un écosystème à un autre. Par exemple, pour passer d’un iPhone à un terminal Android, vous devez confirmer la connexion nouvellement démarrée en utilisant votre ancien appareil un par un.
De nombreux systèmes d’exploitation prennent déjà en charge les clés d’accès. Par conséquent, iOS 16 et macOS 13 permettent la création et la synchronisation de trousseaux. Google a commencé à déployer la fonctionnalité sur Android et devrait la rendre disponible sur tous les appareils exécutant la version 9.0 (ou supérieure) du système d’exploitation en novembre. Sous Windows, les clés d’accès sont disponibles sur Google Chrome et Microsoft Edge. En revanche, les plateformes qui permettent l’authentification par clés d’accès ne sont pas légion. Reddit a une liste de sites utilisant ce nouveau protocole, mais il faudra des mois (voire des années) pour que cette méthode soit largement adoptée.
Si vous avez un appareil compatible et que vous naviguez sur un site qui le propose, l’utilisation du mot de passe ne sera pas facile.
Aller sur un site temporaire (par exemple Nvidia) et lors de la création de votre compte, n’entrez pas de mot de passe et sélectionnez l’option de connexion avec un appareil sécurisé. Une fenêtre pop-up s’ouvrira alors vous demandant si vous souhaitez enregistrer la clé d’authentification (iOS) ou la clé d’accès (Android) pour l’identifiant que vous venez de saisir. Ensuite, avec un Face ID rapide ou une analyse d’empreintes digitales, votre compte est créé. Si vous souhaitez vous reconnecter, sélectionnez la même option, puis confirmez l’authentification avec la méthode sélectionnée.
Si vous avez déjà un compte (sur le site de Nvidia ou ailleurs), vous pouvez ajouter la vérification des clés d’accès via les paramètres en allant dans les options (si le site le propose). Dans la plupart des cas, ce dernier est caché dans les paramètres de sécurité, qui s’appellent “Ajouter un périphérique / un périphérique de sécurité”. Le système d’exploitation se lancera alors et vous pourrez vous guider.
