Entreprises et professionnels
Protégez votre entreprise des cybercriminels.
Commencez l'essai gratuitUn passkey est une technologie moderne d'authentification sans mot de passe qui permet aux utilisateurs de se connecter à des comptes et des applications en utilisant une clé cryptographique au lieu d'un mot de passe. Un passkey fait appel à la biométrie (empreinte digitale, reconnaissance faciale, etc.) pour confirmer l'identité de l'utilisateur.
Malgré des noms similaires, les passkeys sont très différents des mots de passe.
Un mot de passe est une chaîne de caractères que les utilisateurs doivent fournir lorsqu'ils se connectent à un site Internet ou à une appli, généralement en association avec un nom d'utilisateur. Pour éviter les violations de données et les prises de contrôle de comptes, le NIST recommande que les mots de passe soient composés des éléments suivants :
Un passkey est une nouvelle technologie d'authentification qui fait appel à la cryptographie à clé publique pour permettre aux utilisateurs de se connecter à des sites Internet et à des applications, sans avoir à saisir de mot de passe. Les utilisateurs s'authentifient de la même manière qu'ils déverrouillent leurs téléphones et tablettes : avec leur empreinte digitale, leur visage ou d'autres éléments biométriques, en utilisant un modèle de balayage ou en saisissant un code PIN. Pour des raisons pratiques, la plupart des gens opteront pour l'authentification biométrique.
Au lieu de créer un mot de passe pour se connecter à un compte, les utilisateurs génèrent un passkey (qui est en fait une paire composée d'une clé privée et d'une clé publique) en utilisant un authentificateur. Cet authentificateur peut être un appareil, comme un smartphone ou une tablette, un navigateur Web ou un gestionnaire de mots de passe qui prend en charge la technologie passkey.
Avant de générer un passkey, l'authentificateur demande à l'utilisateur de s'identifier à l'aide d'un code PIN, d'un modèle de balayage ou de données biométriques. L'authentificateur envoie ensuite la clé publique (qui est à peu près l'équivalent d'un nom d'utilisateur) au serveur web du compte pour qu'il la stocke, et l'authentificateur stocke localement la clé privée de manière sécurisée. Si l'authentificateur est un smartphone ou un autre appareil, la clé privée sera stockée dans le trousseau de l'appareil. Si l'authentificateur est un gestionnaire de mots de passe, la clé privée sera stockée dans le coffre-fort chiffré du gestionnaire de mots de passe.
Pour créer un nouveau passkey, l'utilisateur se connecte normalement à son compte, puis active l'option passkey dans l'écran des paramètres de sécurité du site Web ou de l'application. Le site Web ou l'application invite ensuite l'utilisateur à enregistrer un passkey associé à son appareil. Le navigateur Web ou le système d'exploitation demande alors une authentification biométrique pour approuver la demande, et le passkey est stocké localement.
Lors des connexions ultérieures au site Web, l'utilisateur sera invité à utiliser un passkey provenant de son appareil pour se connecter, au lieu d'un mot de passe. Si le navigateur Web prend en charge la synchronisation des passkeys entre les appareils, le passkey sera disponible sur tous ces appareils.
Si l'utilisateur utilise un appareil qui n'a pas de passkey pour le site Internet ou l'application, il peut utiliser un autre appareil. Si le navigateur prend en charge l'authentification inter-appareils, il peut proposer à l'utilisateur un code QR qui peut être scanné par un appareil mobile pour terminer la connexion. L'authentification inter-appareils implique également l'utilisation de Bluetooth pour assurer la proximité.
Voici ce que voit l'utilisateur final. Intéressons-nous à ce qui se passe en coulisses, au niveau du serveur. Lorsqu'un utilisateur final tente de se connecter à son compte avec un passkey, le serveur du compte envoie un « défi » à l'authentificateur, composé d'une chaîne de données. L'authentificateur utilise la clé privée pour résoudre le défi et renvoie une réponse, un processus qui consiste à « signer » les données et à vérifier l'identité de l'utilisateur.
On notera qu'à aucun moment de ce processus, le serveur du compte n'a besoin d'accéder à la clé privée de l'utilisateur, ce qui signifie également qu'aucune information sensible n'est jamais transmise. Ce résultat est possible parce que la clé publique (que le serveur stocke) est mathématiquement liée à la clé privée. Le serveur n'a besoin que de la clé publique et des données signées pour vérifier que la clé privée appartient à l'utilisateur.
Les passkeys sont plus sûrs que les mots de passe, pour de nombreuses raisons :
Si les passkeys peuvent éventuellement remplacer les mots de passe, ils ne remplaceront pas les gestionnaires de mots de passe. Au contraire, les gestionnaires de mots de passe vont prendre encore plus d'importance. En effet, les passkeys sont liés à un authentificateur. Les utilisateurs ont le choix d'utiliser un appareil (généralement un smartphone, mais aussi une tablette, un ordinateur portable ou de bureau) ou un gestionnaire de mots de passe qui prend en charge les passkeys.
De prime abord, l'utilisation d'un smartphone comme authentificateur peut sembler être l'option logique, car la plupart des gens ont leur téléphone sur eux en permanence. Cependant, comme la plupart des gens utilisent plusieurs appareils, cette solution s'avère rapidement peu pratique. Si un utilisateur veut accéder à un compte ou à une application sur un autre appareil, comme son ordinateur portable ou sa tablette, il devra générer un code QR sur cet appareil, puis le scanner avec son authentificateur, et enfin utiliser ses données biométriques pour se connecter.
Un gestionnaire de mots de passe comme Keeper, qui prendra en charge les passkeys au début de l'année 2023, simplifiera grandement ce processus en liant le passkey à une application plutôt qu'à un appareil physique.
À l'heure où nous écrivons ces lignes, le nombre de sites Internet et d'applications qui prennent en charge cette technologie est encore faible. Apple, Microsoft, Best Buy, GoDaddy, PayPal, Kayak et eBay sont parmi les grands noms qui prennent en charge les passkeys pour le moment.
Cependant, les passkeys sont de plus en plus populaires en raison de leur commodité et de leur sécurité. Google a intégré la prise en charge des passkeys dans la version stable M108 de Chrome pour Windows, Android et macOS en décembre 2022. La prise en charge pour iOS et Chrome OS est en cours, ainsi qu'un nouvel ensemble d'API qui permettra aux applications Android de prendre en charge les passkeys.