Serait-ce le clap de fin pour nos mots de passe ? Depuis plusieurs mois, Apple, Google, Microsoft et d'autres géants du web tentent de réinventer l'authentification sur le web à l'aide d'une nouvelle méthode : les passkeys (ou clés d'accès en bon français). Leur but est d'aider à nous débarrasser des mots de passe et de leur terrible réputation en matière de sécurité.
L'authentification via un combo classique de nom d'utilisateur + mot de passe pose en effet de nombreux risques. Les internautes ont souvent tendance à réutiliser les mêmes sésames sur plusieurs sites et, comme le prouve année après année le classement des pires mots de passe, ils sont rarement très sécurisés. Résultat, à la moindre fuite de données, des dizaines de comptes deviennent vulnérables au piratage. Il existe bien des gestionnaires censés renforcer la sécurité, mais les grandes entreprises du web veulent désormais aller plus loin avec les passkeys.
C'est quoi les passkeys ?
Pour l'exprimer simplement, les passkeys sont des clés cryptographiques stockées sur votre appareil (ordinateur, téléphone, tablette) qui vous permettent de vous identifier sur un site. Ces fichiers sont évidemment chiffrés et ne peuvent être utilisés qu'une fois l'identité de l'utilisateur validée.
Au moment de vous inscrire sur un site qui propose l'authentification via passkeys, deux clés sont créées : une publique, qui reste sur les serveurs du site en question, et une privée stockée sur votre appareil. Au moment de vous reconnecter, ledit site posera une sorte de “problème” cryptographique à votre appareil, que lui seul pourra résoudre grâce à sa clé privée. Pour s'assurer que c'est bien vous devant l'écran, votre machine vous demandera de vous identifier via un code PIN, votre empreinte digitale ou la reconnaissance faciale.
C'est là toute l'intelligence du système. Plutôt que d'avoir à se remémorer un mot de passe long et complexe, la même méthode que vous utilisez pour déverrouiller quotidiennement votre téléphone suffira à vous identifier. Le système d'exploitation résoudra alors le “problème” et garantira l'identification. Le mot de passe disparaît donc au profit d'une identification simplifiée (puisque gérée par le système d'exploitation) et sécurisée (puisque protégée par le chiffrement). Cela rend le piratage plus complexe, car il faut avoir accès à l'appareil en question et à la méthode de validation de l'identification. L’hameçonnage par création de faux sites est rendu également presque impossible puisque chaque clé est liée à une URL bien précise.
À noter que, dans le cas d'une identification par reconnaissance biométrique, l'empreinte digitale (ou faciale) en elle-même n'est évidemment jamais envoyée à l'hébergeur du site. Le serveur ne voit que la validation par l'OS.
Ça vient d'où ?
Les passkeys ont été développés par l'association Fido, responsable de la normalisation des protocoles d'identification. Derrière le terme marketing repris par Apple, Google et les autres, se cache en fait l'interface de programmation WebAuthn, qui permet d'établir le lien entre l'authentification opérée par l'OS et le site sur lequel on se connecte.
Et ça fonctionne sur tous les appareils ?
Les lecteurs les plus attentifs auront noté que les passkeys sont par défaut stockés en local sur une machine. Fâcheux à l'époque où l'on se connecte autant depuis son smartphone, sa tablette ou son ordinateur. Heureusement, les promoteurs du système ont pensé à ce cas de figure.
Les passkeys peuvent en effet être synchronisés entre les appareils d'un même écosystème. Chez Apple, elles peuvent être par exemple stockées dans le Trousseau iCloud, ce qui permet de les avoir automatiquement à disposition sur son iPhone, iPad et/ou Mac. Google déploie actuellement la même chose avec son gestionnaire de mots de passe, disponible sur Chrome et Android. Si vous tentez de vous connecter depuis une machine qui n'a pas accès à vos comptes, nulle crainte à avoir : le site vous permettra de vous connecter via votre téléphone en lui envoyant une notification ou en lui faisant numériser un QR Code.
Malheureusement, il n'existe pas encore de moyens de synchroniser son trousseau de clés d'un écosystème vers l'autre. Pour passer d'un iPhone à un terminal Android, par exemple, il faut donc utiliser son ancien appareil pour valider une par une les connexions initiées par le nouveau.
De nombreux systèmes d'exploitation prennent déjà en charge les passkeys. iOS 16 et macOS 13 permettent ainsi la création et la synchronisation d'un trousseau de clés. Google a démarré le déploiement de la fonctionnalité sur Android et devrait la rendre disponible sur tous les appareils tournant avec la version 9.0 (ou mieux) de l'OS en novembre. Sur Windows, les passkeys sont disponibles avec Google Chrome et Microsoft Edge. Par contre, les plateformes qui proposent l'identification via passkeys ne sont pas légion. Sur Reddit, on trouve des listes de sites qui utilisent ce nouveau protocole, mais il faudra probablement quelques mois (voire années) pour que la méthode se généralise.
Si vous possédez un appareil compatible et que vous naviguez sur un site qui la propose, l'utilisation de passkeys est on ne peut plus simple.
Rendez-vous sur un site ad hoc (celui de Nvidia, par exemple) et, au moment de créer votre compte, ne rentrez pas de mot de passe et choisissez l'option Connectez-vous avec un périphérique de sécurité. Une fenêtre pop-up s'ouvrira alors, vous demandant si vous voulez enregistrer une clé d'authentification (iOS) ou une clé d'accès (Android) pour l'identifiant que vous venez de renseigner. Un rapide scan Face ID ou d'empreinte digitale plus tard, votre compte est créé. Quand vous voudrez vous reconnecter, il suffira de choisir la même option, puis de valider l'authentification via la méthode choisie.
Si vous avez déjà un compte (sur le site de Nvidia ou ailleurs), vous pouvez aller dans les options et ajouter l'authentification passkeys via les paramètres (si le site propose). La plupart du temps, cette dernière se cache dans les réglages de sécurité et est nommée Ajouter un appareil/périphérique de sécurité. Le système d'exploitation prendra ensuite le relais et vous pourrez vous laisser guider.
from Sciences et technologies - Dernières infos - Google Actualités https://ift.tt/1kNjfec
via IFTTT
Aucun commentaire:
Enregistrer un commentaire