J’ai reçu un texto de mon père me demandant, « Quelle est la différence entre un mot de passe et une clé de passe (passkey) ? »
Quelque part, au cours de son voyage quotidien en ligne, il a été invité par un site web ou une application à créer une clé de passe. Mais l’avantage n’était pas clair pour lui. Il ne semblait pas non plus y avoir d’urgence. Il pensait que je saurais ce qu’est un passkey, ou clé de passe. Et ce qu’il faut faire la prochaine fois qu’il sera incité à en créer un. Je lui ai dit : « Parlons-en avant de faire quoi que ce soit ».
Des messages comme celui qu’a vu mon père vont devenir de plus en plus courants dans notre vie numérique quotidienne. Ils font partie d’un plan pour que les clés d’accès éliminent les mots de passe. Je suis un partisan de ce plan. Mais je ne suis pas aussi optimiste que d’autres quant à son calendrier.
Obstacles à l’adoption
Bien que le plan repose sur des bases techniques solides, de nombreux obstacles nuisent à l’adoption à court terme. Par exemple, la mise en place d’un passkey pour un site web particulier devrait être un processus plutôt transparent (et l’est parfois). Mais la désactivation complète de cette clé de passe repose toujours sur un processus manuel en plusieurs étapes, qui doit encore être automatisé.
Pour compliquer encore les choses, certaines implémentations actuelles de passkeys sont si différentes les unes des autres qu’elles risquent de perturber les utilisateurs finaux à la recherche d’une expérience commune, reconnaissable et facilement répétable (similaire aux dialogues d’identification de l’utilisateur et de mot de passe).
Tant que ces obstacles subsistent, vous avez tout le temps de réfléchir à votre stratégie de transition vers les passkeys. Et, heureusement, vous avez le temps de revoir votre stratégie. Vous pourriez en effet en avoir besoin.
La tentation de faire perdurer les mots de passe
Depuis 2021, date à laquelle Apple a pour la première fois révélé un exemple de passkeys développé avec d’autres géants tels que Google et Microsoft sous l’égide de l’Alliance FIDO. Et il est vrai que les avantages de l’adoption des passkeys sont nombreux. En bref, l’idée principale des passkeys est de se débarrasser des mots de passe. Pour diverses raisons – notamment notre oubli chronique et notre ignorance des meilleures pratiques (par exemple, ne jamais réutiliser le même mot de passe sur plusieurs sites web !) – les mots de passe sont un fléau. Et leur élimination pourrait enfin sonner le glas du phishing.
Les aficionados des mots de passe parlent parfois d' »authentification sans mot de passe » pour désigner les connexions basées sur les mots de passe. S’il n’y a pas de mots de passe à communiquer aux parties qui se fient à l’authentification, il n’y a pas non plus de mots de passe à communiquer aux acteurs malveillants. Mais ce n’est pas parce qu’une poignée de sites web et d’applications prennent en charge les passkeys qu’ils vont bientôt désactiver les mots de passe.
Tant que les identifiants et les mots de passe seront une forme d’authentification autorisée, les pirates informatiques les utiliseront avec succès pour faire du phishing.
La sorcellerie des passkeys
Que vous utilisiez un mot de passe ou une clé de passe, le processus implique toujours un secret. Après 30 ans de piratage de mots de passe, de comptes bancaires vidés, d’usurpation d’identité, l’industrie technologique s’est rendue à l’évidence : nous sommes nuls en matière de protection des mots de passe.
Même après avoir appliqué des pansements – codes à usage unique envoyés par SMS, applications d’authentification et autres soi-disant facteurs d’authentification supplémentaires – les mots de passe se sont toujours révélés faillibles. Dans certains cas, des acteurs malveillants réussissent à s’introduire dans le système. Dans d’autres cas, des utilisateurs légitimes se bloquent eux-mêmes.
Les partisans des passkeys parlent de la mort du mot de passe. Cependant, la vérité est que le mot de passe est mort il y a longtemps. Mais d’une manière différente. Nous avons tous utilisé des mots de passe sans tenir compte de ce qui se passe en coulisses. Un mot de passe est un secret d’un genre particulier : un secret partagé ou symétrique.
Cryptographie à clé publique
Pour la plupart des services et applications en ligne, la définition d’un mot de passe exige que nous partagions d’abord ce mot de passe avec la partie se fiant au mot de passe. C’est-à-dire l’opérateur du site web ou de l’application. Mais mots de passe sont trop facilement compromis.
En revanche, une clé d’authentification implique un secret qui n’est jamais partagé. Ce secret – la partie privée d’une paire de clés publique/privée – reste toujours entre les mains de l’utilisateur final et n’est jamais proposé à la partie qui se fie à lui. Il n’est pas proposé lorsque l’utilisateur final établit ou réinitialise ses informations d’identification auprès d’une partie utilisatrice ou lorsqu’il s’agit de se connecter.
Si vous vous y connaissez en cybersécurité et que vous soupçonnez que la cryptographie à clé publique est impliquée, vous avez de bonnes intuitions. La composante technique du parcours de l’utilisateur du passkey est simplement un flux de travail standard de cryptographie à clé publique.
C’est d’une rapidité déconcertante
Cependant, pour les non-techniciens comme mon père, l’idée de pouvoir se connecter à un site ou à une application sans qu’on vous demande votre mot de passe secret ressemble à de la sorcellerie. Et si vous avez déjà fait l’expérience de la nature automatique des passkeys – lorsqu’ils fonctionnent comme prévu (ce qui n’est pas toujours le cas) – cela ressemble à de la sorcellerie. Mon père était incrédule lorsque je lui ai expliqué. Peut-être l’êtes-vous aussi ?
L’expérience de l’utilisateur du passkey ne comporte rien qui donne visiblement l’impression qu’un échange est en cours. C’est d’une rapidité déconcertante. En attendant, l’idée que nous avons besoin de mots de passe secrets pour protéger pratiquement tout (même nos maisons) est si profondément ancrée dans notre conscience que suggérer une alternative – en particulier quelque chose « sans mot de passe » – est pratiquement un sacrilège.
Derek Hanson, vice-président de Yubico chargé des normes et des alliances, partage cet avis. Yubico fabrique divers dispositifs USB et sans fil (NFC) de la taille d’un doigt, sur lesquels les utilisateurs peuvent enregistrer leurs codes d’accès à différents sites et applications. M. Hanson est également très impliqué dans de nombreux groupes de travail de l’Alliance FIDO, notamment les groupes chargés de l’expérience utilisateur et de la communication marketing.
Utilisateurs finaux douteux
« Le monde a un problème de mots de passe. Personne ne semble en désaccord sur ce point. Nous avons passé les 30 ou 40 dernières années à inculquer aux gens le fonctionnement des mots de passe en ligne. Et il est vrai que les parties qui s’appuient sur les mots de passe ont fait beaucoup pour améliorer l’expérience », a déclaré M. Hanson à ZDNET. « Mais nous nous sommes tellement habitués à tous les obstacles et à tous les maux de tête liés aux mots de passe au cours de ces années que nous nous sommes laissés convaincre, en tant qu’utilisateurs, que c’est ainsi que fonctionne l’internet.
Hanson s’inquiète du fait que la norme passkey a atteint un moment précaire de sa courte histoire. Une masse critique d’utilisateurs a été exposée à la technologie sans mot de passe – et l’a même testée. Mais même cette population n’a pas la confiance nécessaire pour laisser derrière elle ses identifiants et mots de passe.
« Nous sommes actuellement à un point de basculement », dit M. Hanson, notant que les utilisateurs mettent en balance les risques externes de piratage de leurs comptes s’ils conservent leurs mots de passe et le soupçon tenace que le passage à la nouvelle technologie pourrait entraîner le verrouillage de leurs comptes.
Ses inquiétudes sont justifiées.
D’après mes propres tests approfondis des passkeys et d’autres rapports qui donnent à réfléchir, les fondements de la technologie sont solides. Cependant, les expériences utilisateur extrêmement différentes qui en découlent ne peuvent pas inspirer la confiance des utilisateurs. Un récent article de Microsoft suggère implicitement que les avantages des passkeys en termes de sécurité ne suffiront pas à inciter les utilisateurs à les adopter.
Intégration et coopération
En parlant de « plates-formes et de parties utilisatrices », M. Hanson évoque un facteur contribuant à certaines des aspérités les plus visibles du passe. L’expérience de l’utilisateur du passkey n’est pas nécessairement sous le contrôle d’une seule entité. Au minimum, cette expérience implique l’intégration de trois composants distincts :
- La partie se fiant à la clé (par exemple, le site web ou l’application auprès de laquelle l’utilisateur s’authentifie).
- Le système d’exploitation (la « plateforme » susmentionnée) qui fonctionne sur l’appareil de l’utilisateur.
- La solution de gestion des informations d’identification qui, entre autres, stocke les clés d’accès de l’utilisateur.Lorsqu’une entité unique comme Microsoft a compétence sur les trois composants – comme cela peut être le cas lorsqu’un utilisateur se connecte à Microsoft 365 (la partie utilisatrice) à partir d’un PC fonctionnant sous Windows (la plateforme, qui dispose d’un gestionnaire de justificatifs intégré) – cette entité a également un contrôle total sur le parcours des justificatifs de bout en bout et sur le degré d’intégration sans friction des trois composants.
3 mains indépendantes dans la boîte à biscuits
Mais lorsque l’utilisateur se connecte à un compte Gmail à partir de son MacBook Pro qui, au choix de l’utilisateur, utilise Bitwarden pour la gestion des informations d’identification, il y a trois mains indépendantes dans la boîte à biscuits.
- Gmail de Google est la partie utilisatrice
- MacOS d’Apple est la plateforme
- Bitwarden est le gestionnaire d’informations d’identification
Aucun de ces trois acteurs n’a le contrôle total de l’expérience de bout en bout, et tous trois peuvent avoir des intérêts divergents.
Dans ce scénario et dans d’autres semblables, les chances d’un résultat inspirant la confiance de l’utilisateur final sont fortement diminuées. Si l’on veut régler les problèmes, il faudra que les différents acteurs coopèrent davantage.
Aussi imparfaite que soit la situation actuelle, l’optimiste qui sommeille en moi attend avec impatience le jour où je me connecterai à tous mes sites et applications à l’aide de passkeys. Je suis certain que l’attente en vaudra la peine. Mais je suis une exception.