Comment fonctionne le "passkey", ce système d’authentification qui va enterrer les mots de passe?

Bientôt la fin des mots de passe oubliés ou volés? Appel lance aujourd'hui les "passkeys", un nouveau système d'identification qui devrait reléguer au passé l'utilisation de mots de passe cryptiques pour garantir la sécurité de ses comptes, grâce à leur nouveau système d'exploitation iOS 16, sorti ce lundi 12 septembre. Un nouveau Mac OS permettra aux ordinateurs d'Apple de bénéficier de cette fonctionnalité à partir d'octobre.

Concrètement, se connecter partout sera aussi simple que de déverrouiller son écran: chaque site qui propose d'utiliser les "passkeys" demandera à l'utilisateur s'il veut les utiliser pour s'authentifier. Il faudra alors utiliser la méthode de déverrouillage habituelle du téléphone (code PIN, motif, emprinte digitale ou reconnaissance faciale) pour valider la connexion, explique la Fast Identity Online Alliance (FIDO Alliance) à l'origine de ce procédé.

L'appareil créera alors une paire de clés chiffrées: l'une privée, qui reste dans l'appareil, et l'autre publique, qui est aussi mémorisée par le site. A chaque visite du site, celui-ci va identifier l'appareil et lui poser un problème cryptographique, et il suffira là encore de déverrouiller son appareil pour le résoudre.

Un système qui devrait être généralisé en 2023

Ce système présente de nombreux avantages: finis les mots de passe trop simples, la difficulté d'en trouver de nouveaux assez complexes, les oublis à répétition... Et surtout l'utilisation répétée du même mot de passe quelle que soit la plateforme, un comportement qui facilite le piratage.

Les "passkeys" sont la pièce centrale d'un nouveau système d'identification mis au point par la FIDO Alliance et le World Wide Web Consortium. Apple, Google et Microsoft s'étaient accordés en mai pour adopter ce système qui devrait permettre aux internautes de s'identifier sur les sites internet et les applications mobile "sans mot de passe et en sécurité, quel que soit l'appareil ou le système d'exploitation", selon la FIDO Alliance dans un communiqué.

A l'époque, Google et Microsoft s'étaient eux aussi engagés à mettre en place les "passkeys" dans les douze mois, sur tous leurs produits, systèmes d'exploitation (Android, Windows) comme navigateurs (Chrome, Edge). Chaque appareil possèdera des "passkeys" différents, il faudra donc scanner un QR code avec l'appareil inscrit pour se connecter depuis un autre. Les sites Web et autres application qui réclament la création d'un compte devront quant à eux choisir de proposer ou non ce service aux internautes.

Et en cas de perte ou de vol du téléphone? Les clés sont stockées dans le cloud, mais sans appareil du même écosystème (Apple ou Windows), il sera impossible de les récupérer, explique Le Monde. Andrew Shikiar, le directeur exécutif de la FIDO Alliance interrogé par le quotidien, explique que la copie intégrale des clés d'un écosystème vers un autre fait l'objet d'"une discussion très active en ce moment".