Les passkeys, pour l’instant faiblement présentes dans les plateformes et applications, sont amenées à se répandre un peu partout dans les années qui viennent. Pour en comprendre l’intérêt, nous revenons sur leur fonctionnement – sur la base des informations actuellement disponibles –, avec des questions/réponses simples, avant de nous pencher sur la pratique.
Les passkeys ont pour mission de remplacer avantageusement les mots de passe. Pourquoi ? Parce que ces derniers accumulent les problèmes depuis longtemps, et que même les gestionnaires dédiés ne peuvent plus contrebalancer certains traits inhérents aux mots de passe.
En premier lieu, ils ne sont pas pratiques. Il faut en créer un différent pour chaque service, pour ne pas risquer une hécatombe de piratages. En effet, réutiliser le même mot de passe expose à des compromissions en série, puisqu’il suffit que des pirates devinent le mot de passe d’un seul service pour s’attaquer à tous les autres. Et non seulement il en faut un différent, mais chacun doit être assez long (au moins 12 caractères) et utiliser les quatre types : majuscules, minuscules, chiffres et caractères spéciaux.
Résultat, on se retrouve vite avec une quantité importante de chaines de caractères difficiles à mémoriser. C’est là que les gestionnaires de mots de passe entrent en piste, en permettant la génération de chaines aléatoires de caractères. Puisqu’ils enregistrent ces informations et les resservent quand nécessaire, on gagne en temps et en sécurité. Rien n’empêche en effet de créer des mots de passe aléatoires de 40 caractères.
Les gestionnaires ne peuvent cependant pas grand-chose contre d’autres aspects problématiques des mots de passe, dont le principal : ils peuvent être volés. Qu’il s’agisse d’une fuite de données chez un prestataire de service, d’un mot de passe trop faible ou du résultat d’une campagne d'hameçonnage, le résultat sera le même : des identifiants dans la nature.
Mais le second facteur ne permet-il pas de juguler ce problème ? Oui, du moins en partie. Se servir du téléphone est une bonne idée au départ, et nous allons voir qu’il va jouer un rôle prépondérant pour les passkeys. Avec les applications actuelles néanmoins, il arrive encore que le code soit envoyé par SMS. Même quand il est généré par une application de type Authenticator (Google, LastPass, Microsoft, etc.), il peut quand même être intercepté. C’est bien sûr plus délicat à réaliser, mais loin d’être impossible.
Les passkeys se proposent de résoudre tous ces problèmes. Elles se veulent plus simples d’utilisation et surtout plus sécurisées, en empêchant l’information identifiante d’être volée. Des tentatives ont déjà été faites par le passé pour se débarrasser des mots de passe, mais c’est la première fois qu’une vaste alliance travaille sur le sujet. Bien que l’on en parle maintenant, les passkeys sont en préparation depuis des années et impliquent notamment Apple, Google et Microsoft, l’ensemble étant chapeauté par la FIDO Alliance.
Notez pour la suite de l’article que nous gardons l’appellation anglaise « passkeys », car sa traduction française varie selon qui en parle. Apple parle par exemple de « clés d’identification », Boursorama de « clés de sécurité », d’autres encore de « codes d’accès », etc. Une cacophonie qui risque de laisser de nombreuses personnes perplexes, et peut entrainer des confusions avec des clés de sécurité comme les YubiKey et autres Titan.
Passkeys : c’est quoi ?
Une passkey est un élément d’identification, une clé permettant de prouver à un service que la personne est bien qui elle prétend être. Associée à un identifiant (pseudo, adresse email…), elle est attachée à un appareil protégé par une défense que seul l’utilisateur – en théorie – peut déverrouiller. La passkey est liée à un mécanisme complémentaire, qu’il s’agisse de biométrie (empreinte, visage), d’un code PIN ou d’un schéma (très courant sur Android).
Plus en détail, une passkey est en fait composée de deux clés, l’une publique et enregistrée par le site web ou l’application, l’autre privée et stockée sur l’appareil où elle a été créée, dans une zone sécurisée. Elle sera synchronisée avec les autres appareils liés par le même compte au sein d’un écosystème (iCloud chez Apple, Google, etc.). Cette synchronisation est chiffrée de bout en bout. Nous reparlerons de cet aspect un peu plus tard.
La création de la passkey se fait sur la base de l’API Web Authentication. Chaque clé est unique, complexe et spécifique au service qu’elle vise. Ces identifiants ne sont en fait guère différents de ceux créés par les autres services d’authentification compatibles FIDO, comme les applications ou mêmes clés de type Yubico ou Feitian. De la même manière, les identifiants générés sont invisibles et liés à la biométrie, quand celle-ci est disponible. Des mécanismes comme Touch ID et Face ID chez Apple, ou Windows Hello chez Microsoft sont déjà compatibles.
La passkey doit donc faire le lien entre un appareil que la personne possède – smartphone, tablette, ordinateur… – et qui elle est, au moyen de la biométrie, même si cette dernière peut être remplacée par un code PIN. Mais même ainsi, on reste dans l’idée d’une jonction entre un matériel et une information que seule la personne utilisatrice possède. Contrairement à l’authentification à deux facteurs toutefois, cette sécurité ne vient pas compléter le mot de passe : elle le remplace.
En quoi les passkeys sont-elles plus sécurisées que les mots de passe ?
Plusieurs mécanismes assurent un niveau de sécurité largement supérieur aux passkeys. Comme dit, leur stockage se fait en zone sécurisée. Plus précisément, cette zone dispose d’une composante matérielle sur de nombreux appareils.
Sur les iPhone et iPad par exemple, elles sont stockées dans le Trousseau, lui-même chiffré par deux clés AES-256-CGM, l’une pour les métadonnées, l’autre pour les valeurs. Cette seconde clé est intégralement protégée par la Secure Enclave, zone matériellement sécurisée qui s’occupe également de tout ce qui touche à la biométrie. Sur les smartphones Android, on retrouve des mécanismes très similaires.
La passkey n’est jamais directement envoyée à un site ou une application, à la place un jeton est émis.
Ces jetons bénéficient d’une protection supplémentaire, déjà présente dans les mécanismes actuels d’authentification compatibles FIDO : le CTAP, ou Client to Authenticator Protocol, aussi appelé flux Cross-Device Authentication. Ce protocole peut utiliser divers moyens – USB, NFC, Bluetooth Low Energy – pour vérifier que l’appareil authentifiant est proche physiquement de l’appareil sur lequel on tente de s’identifier. Ceci pour empêcher que l’élément cryptographique, s’il parvenait à être récupéré, ne puisse pas être utilisé ailleurs.
Ce dernier point est d’ailleurs un élément limitant pour l’utilisation : l’appareil sur lequel on souhaite se connecter doit avoir le Bluetooth pour que l’authentification par le téléphone puisse se faire. Pour l’instant, la solution du smartphone comme point de contrôle central a été retenue, mais les passkeys n’ont techniquement pas ce genre de limitation.
Des passkeys plus pratiques…
La création d’une passkey ne réclame presque aucune interaction, en tout cas aucune réflexion particulière, pas plus que sa conservation. L’accès à l’information est simplement conditionné au déverrouillage de l’appareil.
Contrairement aux mots de passe, il n’est pas non plus besoin de se reconnecter sur chaque appareil souhaitant accéder au service ou à l’application. Si cet appareil est relié au même compte que l’appareil où la clé a été créée, cette dernière y est synchronisée et utilisée directement. Dans le cas d’un site par exemple, ce dernier traite avec le navigateur pour accéder aux clés cryptographiques WebAuthn nécessaires, sans nécessiter d’intermédiaire ni interaction.
C’est l’aspect pratique le plus prégnant : les clés cryptographiques sont « découvrables », signifiant que tous les appareils liés par un compte peuvent se les échanger. Dans un premier temps toutefois, il est probable que les éditeurs (sites, applications, services…) passent par des codes QR à scanner depuis une application mobile pour établir et valider le lien. Il suffirait alors d’autoriser l’opération avec la biométrie, un code PIN ou un schéma.
Il est évident qu’à terme, ne plus avoir à gérer des dizaines, voire des centaines de mots de passe devrait être un vrai soulagement pour de nombreuses personnes, sans parler du gain de sécurité et de praticité. Même si, dans ce dernier domaine, tout n’est pas encore réglé, car les passkeys vont passer par une première période un peu « brute ».
… du moins à terme
Tout n’est pas clair en effet sur certains aspects de la synchronisation. Car si la sécurité semble être bien présente, avec un chiffrement de bout en bout et donc aucun autre accès que pour la personne détentrice de l’identité, que se passe-t-il quand on décide de changer de crémerie ?
La question se pose d’autant plus qu’en dehors du scénario classique « passer d’iOS à Android » (ou l’inverse), peu de personnes (proportionnellement) utilisent un seul écosystème. Beaucoup ont par exemple un smartphone Android avec un PC sous Windows, et il n’existe pas à l’heure actuelle de moyen simple de basculer les clés de l’un à l’autre.
C’est ce qui ressortait d’un article du Monde en septembre. Des procédures sont prévues, mais elles impliquent de transférer les clés l’une après l’autre. Aucun mécanisme de masse n’existe actuellement, ce qui n’est pas étonnant au vu de la jeunesse des dispositifs. Andrew Shikiar, directeur général de la FIDO Alliance, indiquait alors que ce sujet faisait l’objet de « discussions très actives ».
Certains éditeurs ont une carte à jouer, comme on l’a vu récemment avec Chrome. La dernière version du navigateur prend en charge les passkeys sur Windows 11, macOS et Android. Lors de l’accès à un site supportant la fonction, Chrome pourra proposer automatiquement la création d’une passkey, qui s’enregistrera alors dans le Gestionnaire de mots de passe maison.
Comme expliqué par Google, l’utilisation de la passkey sur un ordinateur déclenchera une vérification sur le smartphone, à condition qu’il soit proche.
Chrome reste cependant un bon exemple, car le navigateur est si omniprésent qu’il représente un écosystème à lui seul. Les clés créées et stockées dans le navigateur sont ainsi accessibles sur presque toutes les plateformes où il est disponible, à l’exception notable de Linux et surtout Chrome OS, qui recevra la capacité l’année prochaine.
Précisons également que les gestionnaires peuvent s’adapter aux passkeys, puisqu’il s’agit d’un standard. Plusieurs l’ont déjà fait, dont 1Password et Dashlane, qui vont pouvoir se montrer encore très utiles pendant des années. Cette compatibilité prendra de l’ampleur, notamment sur Android, puisqu’il sera possible à l’avenir de déclarer un gestionnaire comme stockage par défaut pour les passkeys. Ils pourront ainsi assurer le lien avec d’autres plateformes.
Il est évident que la diffusion des passkeys ne va pas mettre fin aux mots de passe tout de suite. La cohabitation s’annonce longue, car il faut prendre en compte à la fois les changements d’habitude que cela implique – ce n’est pas parce que la fonction est disponible que les utilisateurs vont renoncer immédiatement aux mots de passe – et l’équipement lui-même. Il faut notamment des versions très récentes d’Android, iOS, Windows et macOS.
Les passkeys dans la pratique
Il y a pour l’instant peu de cas pratiques. La compatibilité est annoncée à droite à gauche, mais c’est bien l’année 2023 qui va voir l’explosion des passkeys. Il est nécessaire d’abord que toutes les plateformes et les grands logiciels transversaux comme les navigateurs s’y mettent, pour assurer le lien entre les écosystèmes, le temps que ceux-ci apprennent à communiquer.
La manière dont sont pour l’instant pensées les clés demande de faire un minimum attention. Chaque écosystème, donc chaque compte central (Apple, Google, Microsoft…) va synchroniser les informations sur les autres appareils, mais il faut s’assurer qu’au minimum un appareil soit toujours accessible avec ledit compte, sans quoi la validation d’accès ne pourra plus se faire et les passkeys seront perdues.
Une pression particulière va être mise sur le smartphone, dont l’importance va de nouveau être décuplée. Il sera de loin l’appareil le plus utilisé pour la validation, capable de faire le lien entre les autres. Si le Bluetooth n’est pas présent, un code QR pourra être scanné sur le nouvel appareil avec le smartphone.
Mais concrètement, qui est aujourd’hui compatible avec ces codes d’accès, d’identification ou de sécurité ? En ce qui concerne les plateformes, toutes les plus récentes d’Apple les prennent en charge, via le Trousseau. Chez Google, la compatibilité passe par Chrome, avec support (pour l’instant) de Windows, macOS, Android et iOS, mais avec certaines limitations sur les plateformes Apple. Comme dit, la compatibilité Chrome OS arrivera courant 2023. Chez Microsoft, Edge est compatible (Windows et macOS), tandis que Windows le sera courant 2023 lui aussi.
Concernant les services, ils ne sont pas légions pour le moment, mais leur nombre grandit lentement. Best Buy, Dropbox, Facebook, GitHub, Godaddy, Google, Microsoft, Twitter ou encore Wordpress. Nous avons par exemple activé avec succès une « clé de sécurité » sur un compte Twitter depuis un ordinateur.
La création de la clé passait par l’affichage d’un code QR, que nous avons scanné avec un iPhone, qui a renvoyé lui-même vers un panneau dédié demandant confirmation (avec biométrie, FaceID dans notre cas). Lors d’une nouvelle connexion au compte sur un MacBook Pro via Safari, ce dernier a demandé la confirmation de l’identité avec Touch ID.
L’exemple est représentatif, car même si Twitter est compatible avec ces « clés de sécurité », il permet de changer de méthode d’identification, jusqu’à revenir au simple SMS si besoin. Le cas illustre la période de cohabitation qui commence entre les passkeys et les autres méthodes.
À terme, il ne devrait plus y avoir que ces codes, avec on l’espère une utilisation transparente entre tous les appareils. Il s’écoulera cependant des années avant que le standard se répande partout et que l’ensemble des appareils le prenne en charge. On attend surtout la création de passerelles entre les trois gros écosystèmes, car les limitations actuelles pourraient freiner l’enthousiasme initial. Par exemple, Chrome est compatible avec le Trousseau sur iOS, mais pas sur macOS, lui interdisant de piocher automatiquement dans les passkeys. Ce n’est pas bloquant – un code QR sera affiché à la place – mais le cas montre le type de problème qui persistera pendant un temps.
Une fois que les bases seront posées, c’est ce type de cassure dans l’expérience utilisateur qui nécessitera du travail. Apple, Google et Microsoft travaillent de concert sous l’égide de l’alliance FIDO, mais on les imagine volontiers moins prompts à travailler sur l’idée d’un départ vers la concurrence. Or, ce sera la clé du succès pour les passkeys. Sans un lissage de ces frictions, elles risquent d’être considérées comme captives.
Commentaires (60)
#1
Je ne vous remercie pas du cadeau de Noël : un mal de crâne.
Sujet très intéressant. Il manque néanmoins une partie : que faire dans le cas où les passkey sont révoqués ?
Il faudra des mécanismes de récupération pour compenser l’absence des mots de passe (cas de perte d’accès aux boîtes mail par exemple)
#2
Autre question : que faire si l’unique appareil que l’on utilise pour ces passkeys tombe en panne ou est perdu ?
#3
+1
que faire également lors de la perte/casse/vol du téléphone
autre point, la confidentialité, toutes ces identifications centralisées chez l’un ou l’autre de ces fournisseurs me semble donner encore des facilités de traçage des utilisateurs (sans faire de parano, pour qu’un téléphone android serve identifiant, le site va demander à google d’envoyer une notification pour que l’utilisateur déverrouille le téléphone, c’est donc donner à google/ms/apple/… la liste des services que vous utilisez (et quand), mais c’est déjà un peu le cas pour ceux qui utilisent les gestionnaires de mdp)
edit, grillé par Aristide
re-edit : merci pour l’article au passage :)
#4
J’ai l’impression que GNU/Linux est oublié dans l’histoire.
#5
Est ce que KeePass (logiciel libre plus ou moins équivalent à Dashlane et 1Password) gère les PassKeys ?
#6
Un aspect dommage de ces passkeys est la nécessité d’utilisation de JavaScript. Des propositions avaient été faites pour s’en passer, mais n’ont jamais abouti jusqu’à un standard.
https://github.com/w3c/webauthn/issues/1255
#7
Très INtéressant, merci !
#8
L’idée est bonne, mais cette centralisation a tout va (entre celle sur un des GAFAM, et celle du smartphone) ne me rassure pas vraiment. Bitwarden je l’ai sur l’ensemble de mes machines, et je peux m’y connecter quand je veux avec mon mot de passe et une 2FA multiple (smartphone, clef de sécurité, code par mail etc)
#9
Pourquoi ne pas simplement généraliser la clef ssh ?
#10
Ça en fait des questions 😅 j’avais à peu près les mêmes 😁
#11
les pigeons voyageurs aussi. ils sont aussi pratiques
#12
Je ne comprends pas moi aussi comment ça peut marcher. Tel que je comprends, en simplifiant à l’outrance, l’objectif est de stocker dans l’enclave sécurisée d’un smartphone (ou d’un TPM) une/des clefs privées qui seront utilisées par la suite pour un valider une transaction. Donc, aucun moyen de les transférer d’un appareil à un autre, et en cas de perte/panne du smartphone arriver à faire valider un nouveau passkey pour tous les sites sera un véritable calvaire. Et ce n’est pas un éventualité exceptionnelle.
Où alors, et c’est comme ça que j’ai compris le machin, en vrai la clef privée sera stockée en clair dans le “cloud” du GAFAM de son choix (copie NSA) et avec une manière pour récupérer le compte du GAFAM sans passkey qui sera sans nul doute une faille de sécurité monstrueuse.
Je sais bien que ne pas donner aux GAFAM la totalité de ses mots de passe est un truc qui n’intéresse que quelques barbus archaïques, mais bon…
#13
J’ai été étonné, ma femme vient de changer de tél (elle a Android 12 je crois), et il n’y a plus de schéma, seulemennt un code PIN (qui est moins sécurisé qu’un schéma pour nous car on met la plupart du temps une date ou un chiffre facilement trouvable).
Pour le reste, les passkeys me semblent un brin compliqué pour le commun des mortels. Le mot de passe a encore de beaux jours devant lui.
#13.1
Sur mon téléphone sous Android 13 le modèle est toujours disponible. Par contre dans la configuration il est indiqué “sécurité moyenne” pour le modèle et “sécurité moyenne à élevée” pour le Code PIN ce qui explique peut étre que le code PIN soit proposé par défaut.
#14
Belle pub pour le fichage biométrique et l’enfermement dans un écosystème privé. Autant l’idée de base peut sembler intéressante, autant les différentes modalités de l’implémentation (biométrie, lien avec un appareil physique, absence de validation) donnent envie de tout jeter à la poubelle.
Vu comme c’est présenté, et contrairement à ce qui est dit dans l’article, ça n’est pas plus sécurisé qu’un mot de passe, en plus d’être moralement à gerber.
#15
Tu ironises, mais la clef ssh, c’est une façon standard d’avoir un couple de clef privée & clef publique, la clef est protégée par mot de passe, et c’est indépendant de tout fabricant de matériel et éditeur de logiciel. Bref, ça répond au cahier des charges et ça existe déjà.
On peut y mettre un habillage graphique si c’est trop roots pour toi.
#16
Yep, tout pareil. Je ne comprends pas en quoi un mot de passe maître fort serait moins sécurisé que ces trucs à moitié en ligne qui en plus t’obligent à utiliser un smartphone. Généralement, plus c’est compliqué et moins c’est sûr.
.
D’ailleurs, une enclave, ça peut avoir une faille, directe ou indirecte : une faille dans le process sensé être sécurisé ça s’est déjà vu… comme de pouvoir “écouter” le CPU alors qu’il travaille sur des données déchiffrées sensées être inaccessibles pour nous. Vous savez, les failles récentes… sur nos CPU
Alors qu’un mot de passe béton, jusqu’à présent ça a fait ses preuves. En fait, je ne vois pas quel problème les passkeys sont sensées résoudre que les gestionnaires de mots de passe (offline, tant qu’à faire, type Keepass ou KeepassXC) sont sensés ne pas régler. De plus, avec des passkeys, tu dois faire confiance à une boite noire.
Enfin, juste une remarque sur le ton de l’article (super intéressant, au passage, et très fournit) : par exemple quand on dit que 2023 connaîtra l’explosion des passkeys, ça donne l’impression que le lobbying des grandes entreprises est en marche. C’est un brin optimiste en tous cas ^_^. Ca aura un succès certain auprès des geeks qui ont déjà des gadgets type YuBikey etc, mais ils sont une minorité.
#16.1
Le pb ici est simplement l’être humain..
Autant demander a nos enfants d’apprendre des Poesie ne va choquer personne autant demander a quelqu’un d’un qge > 25 30 ans (j’en ai quasi 50..) va être compliqué.
J’essaie de pousser keypass au boulot mais c vraiment difficile, meme les IT utilie la solution facile/fainéant de stocker les password dans Google
Alors oui les barbu seront toujours meilleurs sur ce point mais proposer une solution qui aide mme michu qui ne veut faire aucun effort (a t’elle raison ou tord est une question..) est je pense une bonne idée.
Trop de mot de passe tu la sécurité, je le vois tout les jours
#17
À titre informatif, mettre KeePass et KeePassXC au même niveau n’est pas judicieux : autant KeePass a été audité par l’ANSSI, autant KeePassXC ne l’a jamais été. Et vu la quantité de features (au demeurant tout à fait pratiques) que la version XC rajoute, cela fait autant de points de vulnérabilité potentiels supplémentaires. Le fait que le format de vault soit le même n’y change rien : le software qui réside en mémoire possède bien son propre set de vulnérabilités.
Quant à qualifier les YubiKey de gadgets, cela me paraît un peu exagéré : l’adhésion au Zero Trust et le fait de nécessiter une action IRL (appuyer sur la clé) pour générer le MFA rendent extrêmement complexe (soyons raisonnables et n’allons pas jusqu’à dire “impossible”) un potentiel piratage
#18
J’espère que Bitwarden sera bientôt compatible car je n’ai pas envie de donner mes identifiants à Google et aussi parce que Linux a totalement été oublié dans cette histoire.
Est-ce qu’on en sait plus sur l’enclave ? Est-elle matérielle ou logicielle ? Si logicielle, est-ce libre ? Dans tous les cas, les hackers vont s’en donner à cœur joie !
#19
Si je comprends bien l’idée, quand tu voudras te connecter avec un nouvel appareil, tu devras en donner “l’autorisation” avec un appareil contenant déjà une passkey dans son enclave sécurisée. L’ancien appareil pourra par exemple afficher un code à entrer sur le nouveau (code valable quelques instants) pour se connecter.
Une fois l’autorisation validée et la première connexion avec le nouvel appareil effectuée, une nouvelle paire sera générée pour ton compte sur le nouvel appareil et la clé privée enregistrée dans son enclave sécurisée.
Reste à savoir ce qui se fait si tu perds tous les appareils contenant une passkey (par exemple parce que tu ne t’es connecté à un service que depuis un seul appareil). J’imagine qu’on va retomber au classique “on vous envoie un code par mail valable 10 minutes, utilisez-le sur le nouvel appareil pour générer une nouvelle passkey”. Ce qui rend la chose pas beaucoup plus sécurisée que le 2FA à mon avis.
#19.1
Autorisation par site web ou globale ?
#19.2
Il faut espérer que ça ne se passe pas uniquement comme ça, surtout si l’ancien appareil est celui qui vient de tomber dans la piscine.
#20
Sauf que c’est la version 2.10 qui a été auditée et aujourd’hui on est à la version 2.52. Donc, il est judicieux de mettere KeePass et KeePassXC au même niveau (à moins de n’utiliser que la version 2.10 de Keepass)
#21
Mais tu as encore un mot de passe (qui en vrai est facultatif) et tu as la même clef pour tout le monde.
#22
Y’a déjà la couche physique pour le coup, RFC 1149
J’ai eu le même étonnement en changeant de smartphone récemment. En fait le schéma est toujours là, mais au setup initial le code PIN est proposé et faut taper sur une option pas du tout visible au premier abord pour changer de moyen de déverrouillage.
Ah par contre pour te demander tes données biométriques, là tu peux être sûr qu’ils vont le faire en grande pompe !!! (3 skip et ça le redemandait à tout va…)
#22.1
Tu sais si on a moyen de le retrouver si on zappé cette option au premier lancement ? On a cherché de partout, mais visiblement pas au bon endroit.
#22.2
Settings => Security => Screen Lock, tu devrais pouvoir y changer la méthode de déverrouillage.
#22.3
Merci, on regarde ça !
#23
Il faut lire l’article. Rien n’empêchera un gestionnaire de mots de passe d’utiliser des passkeys.
Quant aux pleurs sur l’enfermement dans un écosystème privé… c’est déjà fait depuis des années avec les smartphones, je ne vois pas trop ce que ça changera.
#24
1Password a déjà annoncé sa future compatibilité Passkeys, inutile de « s’enfermer » chez un des 3 gros : https://www.future.1password.com/passkeys/
Personnellement ça m’enthousiasme 💪🏻
#25
… et la perte de l’appareil en question - plus que son vol ou sa détérioration - est infiniment plus probable qu’une attaque de pirate. Pour l’utilisateur courant ne constituant pas une cible prioritaire, bien sûr.
Et celui qui perd sa clé USB d’authentification se trouve dans la situation intéressante de s’être piraté lui-même par souci de sécurité. Mort de rire, comme disent les “djeunes”.
#26
Oui et non. Si quelqu’un perd sa clé et qu’elle est utilisée comme second facteur, l’impact peut être considéré comme négligeable.
Et si a clé est utilisée pour “se connecter sans mot de passe” (passwordess), mais qu’elle a un code PIN, l’impact pourra être considéré comme négligeable.
D’ailleurs je me demande s’il n’est pas possible pour le fournisseur du service d’authentification, d’obliger d’utiliser un code pin dans le cas d’une utilisation “connexion sans mot de passe”.
#27
Les mots qui reviennent souvent dans l’article:
Bref la panoplie de mots qui fait que cette technologie ne sera pas simple à utiliser.
Et que donc les utilisateurs trouveront des alternatives pour simplifier cela au quotidien. Par exemple: comment partager/prêter son passkey avec quelqu’un ? Comment retrouver un passkey perdu ? comment faire un duplicata de son passkey pour la mettre dans un coffre ?
#28
Pour KeepassXC, c’est en cours de développement.
Pour keepass, à première vu tu peux utiliser une Yubikey (et peut-être d’autres modèles, mais je n’ai pas vu l’info) en tant que mot de passe maître, mais pas plus.
#29
No shit, Sherlock. Je ne m’étais pas rendu compte que j’étais descendu directement aux commentaires sans tenir compte du contenu que je commentais.
/sarcasme
#30
Je vais développer un peu, parce que l’évident semble ne pas l’être pour certains.
1/ Laisser enfermer les utilisateurs dans des écosystèmes verrouillés est une absurdité. Il ne faut pas mettre en place de telles solutions tant que l’interopérabilité n’est pas totale.
2/ Baser toute la sécurité des comptes sur un unique matériel est une absurdité, car sa perte, son remplacement ou sa panne rendent tout accès, migration ou modification impossible.
3/ Baser cette même sécurité sur une solution matérielle, le smartphone, qui n’est pas remplaçable ou patchable en cas de faille et dont les mises à jour ne sont pas suivies est une absurdité. La sécurité d’un compte ne devrait pas dépendre d’un matériel coûtant si cher, et dont une partie de la population n’est pas équipée.
Ce sont les trois points les plus importants, il y en a d’autres.
Edit: J’ai oublié une précision importante, à savoir que plutôt que de chercher une solution technologique magique, il faudrait éduquer les individus dès le plus jeune âge.
#31
Merci pour l’article sur ce sujet intéressant. Dommage de ne pas avoir fait des schémas pour expliquer plus clairement les principes. Au vu des questions dans les commentaires je ne pense pas être le seul à ne pas avoir tout compris et àavoir plus de questions que de réponses.
Je dois dire que ce n’est pas le premier article de ce genre où j’ai l’impression à travers les commentaires que seuls ceux qui connaissent déjà le sujet arrivent à comprendre l’article.
#32
Vraisemblablement par site web… ou par plateforme. Je serais pas surpris de voir naître des plateformes d’identification centralisées auxquels différents sites pourront faire appel (un peu à la manière de France Connect, mais pour ton compte Pornhub et ton compte Steam).
#33
J’imagine que, de la même manière que tu peux générer un nouveau mot de passe si tu oublies l’ancien, tu pourras générer une nouvelle paire de clés si tu perds la précédente. Quitte à devoir montrer patte blanche par un autre moyen pour les sites les plus à cheval sur la sécurité, par exemple ta banque en ligne te demandera sûrement d’entrer un code de récupération envoyé par courrier postal (les autres te demanderont simplement de cliquer sur un lien envoyé par mail avec le nouvel appareil qui doit remplacer celui-que-tu-croyais-qu’il-était-étanche-mais-en-fait-non).
#34
Pour le coup, les données biométriques ne sont jamais accessibles, pas même par l’OS (chez Apple tout du moins mais j’imagine pas que ça puisse être différent chez Android).
Donc l’OS te demande pas vraiment tes données biométriques puisqu’il ne les obtient jamais, tout ce qu’il obtient c’est que la puce dédiée crée une clé privée qui elle est protégée par une empreinte biométrique (en gros ton empreinte n’est pas sauvegardée mais elle est utilisée comme passpharse de clé privée, et cette clé est elle même stockée hors de porée de l’OS. Ensuite elle lui file ce qu’il demande - souvent d’autres clés sécurisées par la première - ( * ) une fois que tu mets ton doigt sur le bouzin.
( * ) : Et encore depuis quelques années chez la pomme, l’OS ne reçoit même plus la clé, c’est l’enclave sécurisée qui accède aux données et les déchiffre à la volée pour les refiler à l’OS qui ne reçoit jamais d’autres infos que “tiens, voilà ce truc sécurisé que tu m’as demandé et que j’ai pu déchiffrer grâce au doigt ou au code de l’utilisateur”. Je suis quasi sûr que c’est comme ça chez les droïdes aussi mais j’ai pas d’infos et surtout je sais pas si l’implem de la biométrie est standardisée ou si chaque constructeur fait à sa sauce.
#34.1
Le problème est que j’ai plus confiance dans l’idée de faire un Gamel Trophy avec un conducteur bourré à la bière dans un 4x4 bardé de nitroglycérine que de donner quoique soit allant au-delà de minimum pour fonctionner à Android.
Donc peu importe l’implémentation, pour moi Android est réputé comme non fiable et passoire à données personnelles. Et d’ordre général, je ne fais pas confiance aux smartphones non plus.
#35
Ah, si seulement ! Mais en fait, si. Peut-être un site sur deux l’empêche. Combien de fois j’ai eu en retour « votre mot de passe doit faire entre 8 et 12 caractères »… Ou accepte seulement les caractères « spéciaux mais pas trop », interdisant d’utiliser des espaces, des smileys, des tirets cadratins ou que sais-je. En fait beaucoup de sites se mêlent beaucoup trop, et sans raison technique valable, de ce qu’on veut mettre comme mot de passe. Y a même des sites qui acceptent ton mot de passe mais le modifient sans te prévenir, par exemple en virant tous les espaces.
#36
Ouais enfin au final quand ta femme te dis “j’ai oublié de faire ce truc super important sur mon compte des impôts, est-ce que tu peux le faire pour moi” et que t’es sur ton PC du boulot, heureusement qu’il y a les mots de passe.
Pour avoir plein de mots de passe compliqués, suffit de prendre différents nombres et mots, de les associer de façon différentes et de leur appliquer des règles (par exemple des permutations), en fonction de l’adresse du site par exemple.
Y’a plein de façons d’avoir des MP complexes et variés faciles à retrouver. À trop faciliter la vie des gens, on va surtout diminuer leurs libertés…
#37
Alors tout à fait personnellement, je trouve qu’il n’y a rien de plus chiant que de devoir trouver, activer, ouvrir l’authentificateur de son mobile, etc.
La solution est depuis une décennie* sous nos yeux avec un gestionnaire à 2 clefs : un mot de passe unique à se rappeler, et un fichier (genre du txt, une image un mp3, que sais-je) qui jamais ne sera externalisé. C’est pas bien difficile à faire et il faut bien se dire qu’on est pas la banque de France, (niveau risques)
*10 ans parce que c’est la date de mon fichier clef, en fait je sais pas si ce n’est pas antérieur, Mais du moins ça date de la version 2.x de keepass.
J’utilise keepassXc maintenant avec plugin pour navigateur. (Keepass 2 Android pour mobile et à moins de me couper les doigts, c’est safe (
)
Pour ceux qui me diront oulala les plugin ou bien keepassXc, sachez que si on possède la bécane (le portable, le mobile) avec suffisamment de temps on peut tout casser.
(PS : j’ai lu TRES en biais le fil et l’article j’espère ne pas être trop hors sujet)
#38
Le souci est que soit le fichier est stocké strictement en local, et tu es grosjean comme devant pour te connecter quand tu es pas chez toi, soit dans le cloud, et ça revient à dire que si ya une fuite de données du service cloud ton fichier avec tous tes mots de passe et les sites sur lesquels ils s’utilisent est dans la nature.
#38.1
tu te connecte avec d’autres terminaux que les tiens ?
Non alors ta remarque est hors de propos.
#38.2
C’est fou cette croyance comme quoi pour synchroniser plusieurs appareils, il faut que ça passe « par le cloud ». C’est une solution, certes, mais pas la seule.
#39
Je ne sais pas si les “passkeys” sont une solution de l’avenir radieux, que certains promettent ou en tout cas appellent de leurs vœux, appelé “passwordless” ?
Mais peut importe en fait, tout cela est 10 fois trop compliqué pour monsieur et madame tout le monde. Ces “passkeys” n’auront que deux types d’utilisateurs : le secteur pro et les techoss.
Avoir des mots de passe/phrases de passe robustes et uniques ce n’est pas bien dur, surtout avec un gestionnaire de mot de passe (et protéger ce dernier par un mdp robuste aussi) et ça protège dans 99,99% des cas. Si en plus on ajoute l’authentification à deux facteurs alors là, on passe à 99,9999% au moins.
Et si en plus on ajoute à ça une bonne hygiène informatique (pas cliquer/ouvrir/télécharger/installer… n’importe quoi) alors on passe à 99,99999999999999%.
Si la cible c’est le grand public, ça me parait être une gabegie de matière grise, de temps, d’argent et de ressources alors que la solution est simple : éduquer/sensibiliser au numérique sérieusement.
Tout ça pour dire que déjà qu’utiliser un “simple “gestionnaire de mot de passe c’est toujours exotique aux yeux du grand public, alors ces “passkeys”… Mais bon si c’est poussé par le triopole des terminaux utilisateurs, pourquoi pas après tout, peut-être que ça passera comme une lettre à la poste !
#40
On n’a pas forcément besoin de mots de passe en fait.
Pour une asso, j’avais créé un système juste basé sur l’email:
Si le gars se retrouve déconnecté, on lui demande son email et on rattache tout à l’email
Si le gars réutilise l’URL et que le cookie a expiré, on renvoie une nouvelle URL sur l’email
Résultat: on ne stocke que l’email, pas d’info perso.
Après, c’était dans une asso, si on perdait les données on s’en fichait - au pire on rattachait manuellement en “contact humain”. Mais au moins on avait fait un truc simple sans jamais taper de mot de passe.
#41
Je vois pas en quoi. Et en plus, si, ça peut arriver d’avoir besoin de se connecter à un service depuis une machine publique ou appartenant à quelqu’un d’autre.
#42
#43
Et puis se rappeler tout les Mdp faut être Rainman, ça sert à rien en dehors de leur seule fonction. Pour moi c’est de la pollution de mon neurone
#44
Tout à fait d’accord, mais on a aussi des mots de passe qui ne servent à rien (les forums par exemple).
Le degré d’authentification devrait être lié au degré de danger.
Tu peux aussi utiliser une gestionnaire de mots de passe avec un mot de passe partiel (genre tu préfixes et suffixe chaque mot de passe, mais tu ne mets jamais le préfixe/suffixe dans le gestionnaire.
Et de toutes façons il y a des sites qui nécessitent des mots de passe différents.
Ce que je préfère, ce sont les sites type france connect, google, capables de te lister où tu as donné des droits.
#45
Mais en fait on parle “d’hygiène d’utilisateurs” là, il y a tellement d’usages différents. Par exemple j’habite un village avec une “Maison des services” ou l’on peut accéder à des ordis publics (normalement pour des problématiques d’emploi) Alors je parle pas de navigations, cookies ou autre mais des documents confidentiels téléchargés ou issus d’une clef USB à fin d’impression. J’y ai trouvé des trucs (et signalé d’ailleurs) docs de sécu avec détails des ALD, documents des impôts, bulletins de salaires, carte d’identité ou passeport, j’en passe et des pires. Un autre jour j’étais direct dans le dossier Ameli d’une personne !
Il est là le principal problème, non, pas dans les mots de passe !
#46
Déjà là, il y a un problème de ceux qui ont paramétré les ordis. Je connais bien les informaticiens “support”, chouineurs qui se cachent derrière “mais on ne m’a pas formé”.
Deux mots, deux clicks sur internet et on a un tuto de Microsoft sur comment mettre en place un “WriteFilter”, repartir de 0 à chaque boot en démarrant sur un disque virtualisé, placer le AppData/Roaming sur la clé usb de l’utilisateur au démarrage de session pour avoir des sessions invités rejouables (bon celui là n’est pas de Ms de mémoire)…
Depuis le temps que Windows est utilisé sur des postes libre accès, il a énormément de technos intégrées pour protéger cela (genre, la plupart datent de XP ou Vista), mais ce sont les informaticiens qui ne se donnent aucun mal - par facilité ou fainéantise.
#47
Tu oublies les utilisateurs qui ne comprennent pas les enjeux ou s’en ballec … Mais là, oui clairement, le mec qu’a fait l’install c’est “R.à.b”. Prestataire privé payé par nos impôts locaux
#48
Attention : l’email est une donnée personnelle.
#49
Oui, mais intérêt légitime par nécessité d’identification et de communications
#49.1
Je réagissais seulement que fait que tu disais : “pas d’info perso”.