Mis au point par la FIDO Alliance et le WWDC (World Wilde Web Consortium), les passkeys sont aussi appelées « clés cryptographiques » et sont basés sur l’API d’authentification Web (WebAuthn).
Les passkeys sont stockés sur l’appareil plutôt que sur un serveur web (quand ce sont des mots de passe).
Comment fonctionnent les passkeys ?
Connectés à votre smartphone, les passkeys sont une nouvelle méthode d’authentification.
Voici les étapes à suivre si vous voulez utiliser la nouvelle technologie des passkeys :
Pour vous connecter à une application, un site ou un service marchand, il faut obligatoirement vous connecter avec un de vos appareils (téléphone, ordinateur, tablette).
Au moment de l'inscription, vous recevez deux clés chiffrées, uniques et spécifiques pour chaque service. L’une pour vous (clé privée), qui reste dans un espace de stockage en ligne (Icloud pour Apple, Google drive pour Google, OneDrive pour Microsoft) et l’autre détenue par le site consulté.
Pour une authentification réussie, l’utilisateur doit confirmer son identité soit en posant son doigt sur le lecteur d’empreinte (TouchID), soit en présentant son visage (FaceID), soit en saisissant un code ou alors en dessinant un schéma.
Une fois connecté, votre clé privée (qui remplace votre mot de passe habituel) s’ajoute à un trousseau en ligne. Il rassemble tous les passkeys de chaque service utilisé. Vous avez alors accès à ce trousseau depuis plusieurs appareils partageant le même écosystème (Apple, Google ou Microsoft). Cet espace sera évidemment personnel à l’usager.
Vous pouvez retrouver un schéma récapitulatif ci-dessous.
Si vous voulez vous reconnecter à un appareil et que vous n’aviez pas enregistré vos identifiants, vous recevrez une « devinette » que seul votre smartphone pourra résoudre grâce à sa clé privée déjà enregistré dans le trousseau. Ensuite, il faudra finaliser la procédure en confirmant que vous êtes bien à l'origine de la demande de connexion. Pour cela il faudra utiliser TouchID, FaceID ou un autre moyen d'authentification. C'est une double sécurité pour être sûr que ce ne soit pas un piratage.
COMMENT RÉCUPÉRER MES PASSKEYS SI JE PERDS, CASSE, OÙ QUE L’ON ME VOLE MON TÉLÉPHONE ?
Les passkeys sont stockées dans une mémoire chiffrée de votre téléphone. Malheureusement, si vous perdez votre portable ou qu'on vous le vole, alors vous perdez vos accès.
A moins que vous disposiez d’un autre appareil utilisant le même système. Par exemple, si vous perdez votre iPhone mais que vous avez un ordinateur Macbook, vous pourrez vous authentifier et récupérer vos passkeys. Si vous n’avez pas le même écosystème, alors il faudra vous armer de patience et demander à chaque services, applications, sites utilisés, un nouveau passkey en prouvant votre identité.
DIFFÉRENCES ENTRE MOT DE PASSE ET PASSKEY
Actuellement, la majorité d'entre nous utilisons un bloc-notes virtuel rempli de mots de passe similaires ou des post-it un peu partout sur notre bureau. Avec les passkeys, fini les mots de passe du type : 1234,4321,0000, etc.
En effet, les mots de passe que l'on choisis sont souvent trop communs ou utilisés à répétition sur tous les sites Internet. Conséquence ? De plus grandes chances de se faire pirater.
Point non négligeable avec les passkeys : la sécurité. Ces clés sont uniques, non devinables et jamais réutilisés. Elles restent dans la mémoire de votre appareil mais ne sont jamais stockées sur un serveur web. Un gage de protection de haut niveau tout en restant simple à utiliser pour l’utilisateur.
Cependant, point négatif, les passkeys ne sont pas synchronisés entre différents écosystèmes. C’est-à-dire que si vous avez un iPhone et que vous voulez ouvrir une application via un ordinateur utilisant Microsoft, vous serez bloqué. L'utilisateur va se sentir contraint de posséder des appareils de la même marque et donc même système d'exploitation (OS) pour ne pas rencontrer de problèmes de connexion. On peut voir à travers cette nouvelle technologie des passkeys une sorte d'obsolescence perçue.
Si vous souhaitez vous connecter d'un appareil A vers un appareil B qui ne partagent pas le même écosystème, assurez-vous d'être en connexion Bluetooth. Vous recevrez une notification push avec un QR code à flasher. Pour prouver votre identité vous n'aurez plus qu'à vous identifier avec par exemple le ToucheID.
Autre inconvénient des passkeys : une fois créée, elle ne peut pas être remplacée. En effet, puisque cette clé a été créé avec une authentification privée forte : empreinte digitale (TouchID), reconnaissance faciale (FaceID), reconnaissance vocale, etc., si vous perdez votre passkey, il vous sera difficile et surtout chronophage de la récupérer puisqu'il faudra vous authentifier de nouveau sur chaque site. Comparé à un mot de passe classique où il est plus simple de le remplacer ou de se servir de l’option « mot de passe oublié » pour en recréer un en quelques secondes.
QUAND POURRA-T-ON UTILISER LES PASSKEYS ?
Les géants Google (Android) et Microsoft (Windows) ont annoncés en juin dernier qu’ils souhaitaient s’allier à Apple et proposer l’utilisation des passkeys sur les téléphones, ordinateurs et navigateurs. L’objectif pour ces trois grandes firmes serait de proposer ce nouveau service courant de l’année 2023, avec l’arrivée des dernières mises à jour logicielles.
Il est donc possible que vous retrouviez prochainement la technologie des passkeys sur le système d'exploitation Windows 11.