Page d'accueil Navigation Sommaire Contacts Sitemap Recherche

Les passkeys

Basés sur des paires de clés cryptographiques et la technologie biométrique, les passkeys ont pour ambition de remplacer les mots de passe. Ce nouveau système offre aux utilisateurs une méthode simple et sécurisée pour accéder à leurs comptes en ligne. Cet article décrit le fonctionnement des passkeys, leurs avantages et inconvénients, ainsi que leurs conséquences sur la sécurité informatique.

Les procédés permettant de se connecter à un compte en ligne ont beaucoup évolué, des premiers codes d'accès basiques aux mots de passe complexes et jusqu’à l’authentification à deux facteurs ou authentification forte. Ainsi, les méthodes de connexion se sont modernisées pour mieux résister aux tentatives de piratage, au détriment toutefois de la facilité d’utilisation. La récente technologie des passkeys vise quant à elle à simplifier considérablement la procédure de connexion, tout en renforçant encore davantage la sécurité. Il s’agit en effet d'une solution innovante, à la fois simple et sécurisée.

Quelques points essentiels à retenir:

  • Avec les passkeys, plus besoin de mémoriser ou d’écrire quelque-part ses mots de passe pour s’en rappeler.
  • Dans la mesure où chaque clé d’accès est cryptographiquement liée à un site web ou à une application, les passkeys résistent efficacement aux attaques de phishing. Un site piraté aura beau imiter à la perfection une plateforme légitime, il ne pourra jamais posséder les informations nécessaires à l’authentification.
  • Le passkey est protégé soit par un code PIN ou la technologie biométrique (empreinte digitale ou reconnaissance faciale).
  • Il importe de bien protéger ses appareils en suivant nos «5 étapes pour votre sécurité numérique», pour que les clés d’accès y soient également en sécurité.
  • Les fuites de données subies par un prestataire de services en ligne n’affectent pas la sécurité des passkeys.

Qu’est-ce qu’un passkey?

Un passkey permet d’accéder à un compte utilisateur sans avoir besoin de mémoriser ni de saisir un mot de passe.

Ce mécanisme fait appel à une paire de clés: une clé publique et une clé privée. La clé privée est stockée sur l’appareil de l’utilisateur et validée à chaque utilisation via un capteur biométrique (empreinte digitale ou reconnaissance faciale par exemple) ou un code PIN.

Les passkeys offrent un niveau de sécurité remarquable. En effet, dans la mesure où la méthode de chiffrement utilisée et les données biométriques sont difficiles à pirater, ils sont nettement plus sécurisés que les mots de passe. Même en cas de vol de votre appareil, personne ne pourra accéder à vos clés d’accès sans vos données biométriques ou votre code PIN.

Par ailleurs, à partir du moment où chaque clé d’accès est cryptographiquement liée à un site web ou à une application, les passkeys résistent efficacement aux attaques de phishing. De plus, la clé privée est toujours conservée localement sur l’appareil de l’utilisateur, p. ex. son smartphone ou un périphérique de stockage USB.

Lors de chaque tentative d’accès à un site ou à une application, le système reconnaît la clé publique mais demande toujours localement la validation de la clé privée sur l’appareil de l’utilisateur. Cette procédure d’authentification offre également une bonne protection en cas de fuite de données (lorsque des données confidentielles, telles que des identifiants de connexion, tombent entre les mains de personnes non autorisées). Même si des tiers obtiennent la clé publique liée à un compte utilisateur, ceux-ci ne pourront jamais y accéder sans la validation de la clé privée sur l’appareil.

La technologie des passkeys a été développée par l’Alliance FIDO (Fast IDentity Online), une organisation de sécurité informatique non commerciale, qui travaille sur les méthodes d’authentification numérique sans mot de passe.

Comment fonctionnent les passkeys?

Lorsque vous vous connectez à un prestataire de services qui propose ce procédé d’authentification, celui-ci communique avec votre dispositif et lui demande de répondre à un défi (challenge). Pour cela, vous devez alors prouver votre identité en tapant un code PIN ou via vos données biométriques (reconnaissance faciale ou empreinte digitale). Votre appareil produit alors une signature numérique qu’il envoie au site web afin de confirmer que c’est bien vous qui souhaitez vous connecter.

Ce mécanisme est relativement simple, même s'il repose sur une technologie avancée. Voici les étapes à suivre pour créer un passkey:

  1. Enregistrement: lorsque vous créez un compte sur un site web ou sur une application, un passkey composé d'une clé privée et d'une clé publique est généré sur votre appareil. Ce passkey est unique et lié au site ou à l’application.
  2. Stockage: la clé privée qui est stockée sur votre appareil ou votre système d’exploitation est protégée par la même méthode d’identification que celle utilisée pour le déverrouillage du dispositif, à savoir un code PIN ou une authentification biométrique, comme par exemple une reconnaissance faciale ou une empreinte digitale. Sous macOS et iOS, ces données sont stockées dans le trousseau de clé, tandis que Windows utilise Windows Hello. Quant aux systèmes Android, la protection des passkeys est assurée par le gestionnaire de mots de passe Google.
  3. Connexion à votre compte: la prochaine fois que vous voudrez vous connecter à ce même site ou à cette même application, votre appareil utilisera la clé privée stockée localement, sachant que le site ne possède que la clé publique du passkey. Pour vous connecter à votre compte, il vous suffira donc de confirmer votre identité avec vos données biométriques ou le code PIN que vous utilisez normalement pour le déverrouillage de votre appareil.

Avantages

  • Vous n’avez plus besoin de mémoriser et de taper des mots de passe compliqués pour vous connecter. Il vous suffit juste de valider votre demande de connexion en utilisant un capteur biométrique ou un code PIN.
  • La procédure connexion via passkey est sensiblement plus simple et nettement plus rapide que de taper un mot de passe ou de recourir à un gestionnaire de mots de passe.
  • Dans la mesure où la clé privée n’est jamais communiquée au site web, ce qui réduit considérablement les risques de phishing.
  • À partir du moment où les sites web ne stockent que la clé publique, et jamais la clé privée du passkey, votre compte reste protégé même si le prestataire subit une fuite de données. La clé publique du passkey peut être facilement renouvelée.

Inconvénients

  • Dans la mesure où le passkey est lié à un appareil, le problème de son partage pose problème. Par exemple, deux utilisateurs utilisant deux dispositifs différents ne peuvent pas accéder simultanément au service, qui sera accessible uniquement à la personne qui utilise l’appareil lié à la clé d’accès.
  • Les passkeys sont stockés sur le terminal de l’utilisateur. Sans cet appareil, la personne ne peut pas accéder à la clé d’accès et ne peut donc pas se connecter au site web ou à l’application.
  • Dans la mesure où chaque système d’exploitation prend en charge les passkeys de manière spécifique, une utilisation simple sur plusieurs appareils n’est possible que s'ils fonctionnent tous avec le même système d’exploitation (p. ex. Microsoft, Apple).
  • L’utilisation des passkeys sous Linux est actuellement très limitée. À noter qu’il existe déjà des solutions garantissant l’interopérabilité des passkeys, telles que la lecture d'un code QR.

Comment configurer et utiliser vos passkeys?

Retrouvez ici le guide pour la configuration et l’utilisation des passkeys sous Windows.

Conclusion

Les clés d’accès facilitent et sécurisent à la fois la connexion aux comptes en ligne des utilisateurs. Comme les passkeys sont aujourd'hui pris en charge par de plus en plus d'utilisateurs, ils sont destinés à devenir la méthode d’authentification du futur. Du point de vue de la sécurité informatique, les passkeys présentent un atout considérable par rapport aux fuites de données et au phishing. Les cybercriminels pourraient toutefois être tentés de cibler davantage les appareils et les solutions cloud des utilisateurs afin d’obtenir leurs clés privées. D’où l’importance de bien protéger et sécuriser ses appareils et ses comptes cloud.

 

Un passkey est un mot anglais que l’on peut traduire par «clé d’accès» ou «clé d’authentification». Son ambition est de remplacer l’authentification par mot de passe. Un passkey est constitué de deux clés, l’une privée, l’autre publique. La clé privée est toujours conservée localement sur l’appareil de l’utilisateur, p. ex. son smartphone ou un périphérique de stockage USB. Le terminal sert donc à valider l’accès à un site ou à une application. Contrairement aux mots de passe, les passkeys sont liés à l’appareil et non à la personne.

Qu’aimeriez-vous savoir encore sur le thème de la sécurité en e-banking ?

Je souhaite m'inscrire
à une formation :

Formation en ligne de base

Découvrez les principales menaces qui circulent sur Internet et apprenez à vous en protéger et à sécuriser vos sessions d’e-banking.

en savoir plus

Formation en ligne Mobile Banking / Payment

Vous découvrirez le Mobile Banking et le Mobile Payment, et apprendrez à utiliser les applications correspondantes en toute sécurité.

en savoir plus

Formation en ligne sur les cryptomonnaies

Vous êtes débutant·e en crypto ? Découvrez les principales cryptomonnaies et la technologie de la blockchain.

en savoir plus

Formation en ligne pour les PME

Votre entreprise est-elle suffisamment protégée ? Découvrez les mesures qui vous permettront d’améliorer sensiblement la sécurité informatique dans votre entreprise.

en savoir plus