5 questions sur les passkeys, ce système qui veut remplacer vos mots de passe

Serait-ce la suppression définitive de nos mots de passe ? Depuis plusieurs mois, Apple, Google, Microsoft et d’autres géants du web tentent de recréer l’authentification sur le web en utilisant une nouvelle méthode : les clés d’accès (ou clés d’accès en bon français). Leur but est d’aider à supprimer les mots de passe et leurs noms de chargement pour des raisons de sécurité.

L’authentification via la combinaison classique nom d’utilisateur + mot de passe est très risquée. Les internautes ont souvent tendance à réutiliser les mêmes mots de passe sur plusieurs sites et, comme le montre l’aggravation de la situation des mots de passe d’année en année, ils sont rarement très sécurisés. En conséquence, en quelques fuites de données, des dizaines de comptes deviennent vulnérables au piratage. Beaucoup d’administrateurs sont censés renforcer la sécurité, mais les grandes entreprises du web veulent désormais aller plus loin avec les clés d’accès.

Quelles sont les clés d’accès ?

Pour faire simple, les clés d’accès sont des clés cryptographiques stockées sur votre terminal (ordinateur, téléphone, tablette) qui permettent de vous identifier sur un site. Ces fichiers semblent cryptés et ne peuvent être utilisés qu’une fois l’identité de l’utilisateur authentifiée.

Lorsque vous vous inscrivez sur un site qui propose une authentification par clés d’accès, deux clés sont créées : une publique, qui se trouve sur le serveur du site en question, et une privée qui est stockée sur votre appareil. Lorsque vous vous reconnecterez, ledit site attendra une sorte de “problème” cryptographique de votre appareil, que vous seul pourrez résoudre grâce à votre clé privée. Pour s’assurer que vous êtes bien devant l’écran, votre appareil vous demandera de vous identifier par code PIN, votre empreinte digitale ou la reconnaissance faciale.

Publicité, votre contenu continue ci-dessous

C’est toute la compréhension du programme. Au lieu de devoir retenir un mot de passe long et compliqué, la même méthode que vous utilisez pour déverrouiller votre téléphone tous les jours suffira à vous identifier. Le système résoudra le “problème” et identifiera les preuves. Le mot de passe disparaît donc au profit d’une identité facile (puisqu’il est contrôlé par le système d’exploitation) et sécurisée (il est protégé par cryptage). Cela rend le piratage plus complexe, car il faut avoir accès à l’appareil en question et un moyen de vérifier l’identité. La confidentialité en créant de faux sites est également impossible car chaque clé est liée à une URL spécifique.

Lire Aussi :  Signature d'une convention de partenariat entre l’UIR et l'Université Ben Gourion de Beer-Sheva

A noter que, dans le cas d’une identification par identification biométrique, l’empreinte digitale (ou visage) elle-même n’est pas clairement transmise à l’hébergeur du site. Le serveur ne voit que l’authentification via le système d’exploitation.

D’où est-ce que sa vient?

Les clés d’accès sont développées par l’équipe Fido, responsable du renouvellement des procédures d’identification. Après le discours marketing reçu par Apple, Google et consorts, retenez en fait l’interface de programmation WebAuthn, qui permet d’établir un lien entre l’authentification activée par l’OS et le site sur lequel on se connecte.

Et est-ce que ça marche sur tous les appareils ?

Les lecteurs les plus attentifs auront remarqué que les clés d’accès sont stockées par défaut localement sur un appareil. Malheureusement il arrive un moment où vous êtes trop connecté à votre smartphone, tablette ou ordinateur. Heureusement, les promoteurs du programme ont envisagé ce scénario.

Publicité, votre contenu continue ci-dessous

Les clés d’accès peuvent être synchronisées entre les appareils d’un même écosystème. Chez Apple, ils peuvent être stockés dans iCloud Keychain, par exemple, ce qui permet de les retrouver automatiquement sur votre iPhone, iPad et/ou Mac. Google lance actuellement le même avec son gestionnaire de mots de passe, disponible sur Chrome et Android. Si vous essayez de vous connecter depuis un appareil qui n’a pas accès à vos comptes, il n’y a rien à craindre : le site vous permettra de vous connecter via votre téléphone en envoyant une notification ou en faisant scanner un code QR.

Lire Aussi :  Hogwarts Legacy : Poudlard, combats… Le jeu Harry Potter vous invite à une présentation magique, préparez-vous !

Malheureusement, il n’existe aucun moyen de synchroniser votre clé d’un écosystème à un autre. Pour passer d’un iPhone à un terminal Android, par exemple, vous devez utiliser votre ancien appareil pour confirmer une à une les connexions initiées par le nouveau.

De nombreux systèmes d’exploitation prennent déjà en charge les clés d’accès. iOS 16 et macOS 13 permettent donc la création et la synchronisation d’un bouton. Google a commencé à travailler sur la fonctionnalité sur Android et devrait la rendre disponible sur tous les appareils exécutant la version 9.0 (ou supérieure) de l’OS en novembre. Sous Windows, les clés d’accès sont disponibles avec Google Chrome et Microsoft Edge. En revanche, les plateformes qui proposent une reconnaissance via des clés d’accès ne sont pas légion. Sur Reddit, il existe des listes de sites qui utilisent cette nouvelle technique, mais il faudra probablement attendre quelques mois (voire des années) pour que la méthode se généralise.

Publicité, votre contenu continue ci-dessous

Si vous possédez un appareil compatible et que vous naviguez sur un site qui le propose, l’utilisation des clés d’accès ne pourrait être plus simple.

Lire Aussi :  soyez radin, Amazon lâche 7 pépites dans la nature ⚡️

Aller à un endroit ad hoc (de Nvidia, par exemple) et, lors de la création de votre compte, ne saisissez pas de mot de passe et sélectionnez l’option Se connecter avec un appareil sécurisé. Une fenêtre contextuelle s’ouvrira, vous demandant si vous souhaitez enregistrer la clé de vérification (iOS) ou la clé d’accès (Android) pour l’identité que vous venez de saisir. Un rapide Face ID ou une analyse d’empreintes digitales plus tard, votre compte est créé. Lorsque vous souhaitez vous reconnecter, il vous suffit de sélectionner la même option, puis de confirmer la confirmation via la méthode choisie.

Si vous avez déjà un compte (sur le site Nvidia ou ailleurs), vous pouvez aller dans les options et ajouter des clés d’authentification via les paramètres (si le site le propose). Dans la plupart des cas, ce dernier est stocké dans les paramètres de sécurité et s’appelle Ajouter un périphérique / périphérique de sécurité. Le système acceptera alors et vous pourrez vous laisser guider.

Publicité, votre contenu continue ci-dessous

Source

Leave a Reply

Your email address will not be published.

Articles Liés

Back to top button