Accueil High Tech La mise à jour des Passkeys d’Apple pourrait rendre les mots de...

La mise à jour des Passkeys d’Apple pourrait rendre les mots de passe traditionnels obsolètes

162
0

On a parfois l’impression que les mots de passe sont là depuis toujours, et pourtant, chaque année, on nous rappelle que nous ne les utilisons toujours pas correctement !

La publication annuelle de la liste des « pires mots de passe » montre que nous ne sommes pas devenus beaucoup plus avertis en matière de mots de passe au cours de la décennie. Et si plusieurs remplacements de l’humble mot de passe ont été proposés, aucun ne s’approche de la facilité d’utilisation de la méthode traditionnelle.

Mais cela change aujourd’hui avec l’introduction de Passkeys – une mise à jour du dernier système d’exploitation d’. Passkeys pourrait être la solution tant attendue aux mauvaises pratiques en matière de mots de passe et au problème quasi constant des identifiants compromis.

Quel est le problème des mots de passe ?

Le problème des mots de passe a été bien documenté. Nous en choisissons des faibles, les écrivons (pour que d’autres puissent les voir), les partageons et les réutilisons sur plusieurs sites web.

Le dernier de ces points est particulièrement problématique. Une fois que vos données ont été violées (et qu’elles ont ensuite été divulguées), elles sont vulnérables au « credential stuffing », c’est-à-dire que les cybercriminels prennent un ensemble d’identifiants de connexion et les essaient sur plusieurs sites web.

« Mais j’utilise un gestionnaire de mots de passe », me direz-vous.

Eh bien, c’est une bonne chose. Le conseil standard depuis des années est d’utiliser des gestionnaires de mots de passe tels que 1Password ou LastPass. Ceux-ci vous permettent de créer des mots de passe uniques pour chaque site Web ou service que vous utilisez. Ainsi, même si un site Web est compromis, un seul mot de passe est révélé.

Mais cette approche nécessite la possibilité de synchroniser tous vos appareils – une fonction que tous les gestionnaires de mots de passe ne proposent pas.

Et même avec un gestionnaire de mots de passe, nos mots de passe sont toujours stockés sur le site web distant auquel nous accédons. Bien que la plupart des sites web stockent les mots de passe dans un format sécurisé (haché), ils sont encore régulièrement compromis. On estime que plus de deux milliards d’informations d’identification (y compris les mots de passe) ont été divulguées en ligne en 2021.

L’arrivée des Passkeys

Les appareils Apple utilisant la dernière version du système d’exploitation (iOS 16 ou MacOS Ventura) intégreront un nouveau mécanisme de mot de passe appelé Passkeys. Malheureusement, les utilisateurs d’iPad devront attendre un peu plus longtemps pour bénéficier de cette fonctionnalité.

Il est intéressant de noter que vous ne serez pas… forcés d’utiliser des Passkeys, mais votre appareil Apple vous en donnera la possibilité. En outre, la plupart des sites Web continueront à prendre en charge l’accès par mot de passe pour les personnes ne disposant pas des derniers appareils.

Vous aurez également la possibilité d’utiliser le stockage en nuage sécurisé d’Apple, iCloud, pour sauvegarder vos clés et les partager entre vos appareils Apple.

Comment fonctionnent-ils ?

Le concept derrière Passkeys est relativement simple. Chaque site web sur lequel vous choisissez d’utiliser Passkeys génère en toute sécurité une paire unique de codes secrets (appelés « clés »).

L’une de ces clés est une clé publique, stockée sur le site web sur lequel vous êtes enregistré. L’autre est une clé privée stockée sur votre appareil. Les deux clés sont liées, mais l’une ne peut pas être utilisée pour obtenir l’autre.

Lorsque vous essayez de vous connecter au site web, au lieu de saisir un mot de passe, votre appareil vous demandera de vérifier votre connexion en utilisant le mécanisme de déverrouillage biométrique de votre appareil. Vous devrez donc soit scanner votre visage, soit votre doigt.

Cela limite délibérément la fonctionnalité de Passkeys aux appareils dotés d’un support biométrique (les iPhones proposent Touch ID depuis 2013 et Face ID depuis 2017).

Une fois vos données biométriques vérifiées, votre appareil utilisera votre clé privée pour prouver votre identité au site web en relevant un « défi » mathématique complexe émis par le site. À aucun moment, votre clé privée n’est envoyée sur Internet au site web.

La réponse de votre appareil ne peut être vérifiée que par le site web, à l’aide de la clé publique générée lors de votre inscription. Et personne ne peut se faire passer pour vous sans votre clé privée, qui est stockée en toute sécurité sur votre appareil.

Si un site web est compromis, la clé publique seule est inutile pour les cybercriminels.

De plus, alors que la technologie biométrique peut être compromis, cela est relativement difficile. Pour exploiter une combinaison de données biométriques et de clés de passe, un criminel doit d’abord se procurer votre appareil, puis réussir à imiter votre visage ou vos empreintes digitales (ou vous en forcer la main), ce qui est peu probable pour la plupart des utilisateurs.

Obstacles à l’utilisation

Passkeys sera d’abord lancé sur Apple, mais d’autres sociétés le suivent de près. Microsoft lancera probablement bientôt son propre équivalent, bien qu’il puisse ne pas être initialement compatible avec l’implémentation d’Apple. Cela pourrait être un problème pour les personnes souhaitant utiliser à la fois un et un ordinateur portable Windows.

À l’avenir, il est important qu’Apple, et Microsoft travaillent ensemble pour assurer une compatibilité maximale entre les appareils.

En attendant, il existe des solutions de contournement. Si vous devez accéder à un service protégé par Apple Passkeys sur votre ordinateur portable Windows (ou tout autre appareil), vous pouvez scanner un code QR avec votre iPhone et fournir votre vérification biométrique de connexion de cette manière.

Cela signifie que les utilisateurs devront toujours avoir leur téléphone sur eux lorsqu’ils voudront s’authentifier auprès d’un service distant – alors qu’actuellement ils peuvent simplement taper leur mot de passe, ou utiliser un gestionnaire de mots de passe synchronisé sur leurs appareils.

Pour certains utilisateurs, le fait d’avoir besoin d’avoir leur téléphone en permanence pourrait être suffisant pour ne pas utiliser les Passkeys.

La longue traîne de l’adoption

L’approche Passkeys a le potentiel de rendre les mots de passe obsolètes, mais il faudra pour cela que les organisations du monde entier y investissent du temps, des efforts et de l’argent.

Les grands acteurs comme les sociétés de médias sociaux sont bien placés pour adopter rapidement Passkeys, mais il y aura des millions de sites Web qui mettront des années à le faire – ou ne le feront peut-être jamais.

En effet, si l’on regarde l’état des lieux aujourd’hui, de nombreux sites importants n’appliquent toujours pas les bonnes pratiques existantes en matière de mots de passe. Il est donc difficile de dire exactement à quelle vitesse et à quelle échelle les Passkeys seront mis en œuvre.The Conversation


Paul Haskell-Dowland, professeur de pratique de la cybersécurité, Université Edith Cowan, et Steven Furnell, professeur de cybersécurité, Université de Nottingham.

Cet article est republié de The Conversation sous une licence Creative Commons. Lire l’article original.

Article précédentLes 13 comptes du fils cadet du Premier ministre pakistanais sont gelés dans une affaire de blanchiment d’argent : Rapport
Article suivantSwiatek brise le mythe « rouge et glissant » après s’être qualifié pour la finale de l’US Open.