Levez la main si vous détestez entrer des mots de passe. Bon, maintenant gardez la main levée si vous utilisez le même mot de passe pour plusieurs comptes ou services. Oui, beaucoup de gens le font, et c’est l’une des principales causes de piratage des utilisateurs.
Pensez-y. Si quelqu’un peut obtenir votre mot de passe pour un seul service, soit par une violation de données, une ingénierie sociale ou une attaque de phishing, votre identité et vos informations personnelles pourraient être compromises. Cela peut conduire à n’importe quoi, des personnes qui espionnent les caméras pour bébés aux pirates informatiques qui volent de l’argent sur votre compte bancaire.
Oui, il existe des alternatives à la saisie manuelle des mots de passe, comme les meilleurs gestionnaires de mots de passe, mais ils peuvent toujours rendre les utilisateurs vulnérables. Maintenant, Apple, Google, Microsoft et d’autres se sont regroupés via l’Alliance FIDO (s’ouvre dans un nouvel onglet) pour essayer de remplacer le mot de passe pour de bon. Et l’implémentation d’Apple s’appelle Passkeys, qui arrivera cet automne dans iOS 16, macOS Ventura et iPadOS 16.
Dans une interview exclusive de Tom’s Guide, j’ai eu l’occasion de parler avec Kurt Night, directeur principal du marketing des produits de plate-forme chez Apple, et Darin Adler, vice-président des technologies Internet chez Apple, sur le fonctionnement des clés de passe et comment ils pourraient vraiment faire des mots de passe une chose. du passé.
Qu’est-ce que c’est que les Passkeys et comment fonctionnent-ils ?
Les clés d’accès sont des clés numériques uniques faciles à utiliser, plus sécurisées, jamais stockées sur un serveur Web et qui restent sur votre appareil. La meilleure partie? Les pirates ne peuvent pas voler les clés d’accès lors d’une violation de données ou inciter les utilisateurs à les partager.
La vérification Face ID et Touch ID vous offre la commodité et la biométrie que nous pouvons obtenir avec un iPhone. Vous n’avez pas besoin d’acheter un autre appareil, mais vous n’avez même pas besoin d’apprendre une nouvelle habitude.
—Darin Adler, Apple
« Les mots de passe sont essentiels pour protéger tout ce que nous faisons en ligne aujourd’hui, de tout ce que nous communiquons à toutes nos finances », a déclaré Knight. « Mais ils sont également l’un des plus grands vecteurs d’attaque et vulnérabilités de sécurité auxquels les utilisateurs sont confrontés aujourd’hui. »
C’est pourquoi Apple a poussé si fort pour une alternative. Les clés d’accès utilisent Touch ID ou Face ID pour la vérification biométrique, et iCloud Keychain pour se synchroniser sur iPhone, iPad, Mac et Apple TV avec un cryptage de bout en bout.
D’autres entreprises ont essayé de remplacer les mots de passe par du matériel dédié, comme une clé de sécurité physique, mais cela était principalement axé sur les utilisateurs de l’entreprise ; cela a également ajouté une autre couche de complexité. Les clés d’accès ont une réelle chance de décoller car elles exploitent un appareil que vous possédez déjà.
Les clés de sécurité sont basées sur ce qu’on appelle la cryptographie à clé publique. Il y a une clé privée, qui est secrète et stockée sur votre appareil, et il y a une clé publique qui va sur un serveur Web. Les clés de sécurité rendent le phishing impossible car vous ne présentez jamais la clé privée ; vous vous authentifiez simplement à l’aide de votre appareil.
« Les gens ont presque toujours des téléphones avec eux », a déclaré Adler. « La vérification Face ID et Touch ID vous offre la commodité et la biométrie que nous pouvons obtenir avec un iPhone. Vous n’avez pas besoin d’acheter un autre appareil, mais vous n’avez même pas besoin d’apprendre une nouvelle habitude. »
Attendez, que se passe-t-il si vous n’utilisez pas d’appareil Apple ?
Supposons que vous vous inscriviez à un service de streaming sur votre iPhone mais que vous deviez vous connecter sur votre Roku. Que faites-vous lorsque votre Roku n’a pas Touch ID ou Face ID ?
L’autre appareil génère un code QR qui peut être lu par votre iPhone ou iPad. iOS utilise Face ID ou Touch ID pour confirmer que c’est vous qui essayez de vous connecter avant de confirmer ou de refuser la demande à l’application ou au site Web exécuté sur l’autre appareil.
De plus, si quelqu’un essaie de se connecter à un service à l’aide d’un appareil iOS ou d’un Mac qui n’est pas le vôtre, les clés d’accès peuvent être partagées via AirDrop.
L’expérience multiplateforme est super facile », a déclaré Night. “Donc, disons que vous êtes quelqu’un qui a un iPhone, mais que vous voulez vous connecter sur une machine Windows. Vous pourrez accéder à un code QR que vous n’aurez ensuite qu’à scanner avec votre iPhone et pourrez ensuite utiliser Face ID ou Touch ID sur votre téléphone.
En d’autres termes, les ordinateurs vont communiquer entre eux pour s’assurer que vous êtes à proximité pour des raisons de sécurité et ils confirmeront que vous êtes connecté.
Un porte-clés incassable
Pour que Passkeys fonctionne sur plusieurs appareils Apple, y compris l’iPhone, l’iPad, le Mac et l’Apple TV, il faut quelque chose pour synchroniser les informations avec un cryptage de bout en bout. Et c’est là que le trousseau iCloud entre en jeu.
“Ce n’est pas un futur rêve de remplacer les mots de passe. C’est quelque chose qui va être une voie pour remplacer complètement les mots de passe, et ça commence maintenant. »
Kurt Nuit, Pomme
iCloud Keychain est déjà utilisé pour synchroniser vos mots de passe et autres informations sécurisées (comme les cartes de crédit) sur tous vos appareils. Mais l’arrivée de Passkeys fait passer les choses au niveau supérieur.
Alors que se passe-t-il si vous n’avez pas accès à votre iPhone ? iCloud Keychain permet également de récupérer vos anciennes clés via iCloud si votre appareil Apple est perdu ou volé.
C’est pourquoi il est si important qu’Apple ait créé des clés de passe au-dessus du trousseau iCloud.
« iCloud Keychain a rendu cela possible, et la sécurité qui était auparavant limitée aux personnes qui seraient disposées à transporter du matériel supplémentaire peut être mise à la disposition de tous avec le téléphone », a déclaré Adler. « Je pense donc que ces deux choses se rejoignent d’une manière vraiment spéciale. »
Quelle est la prochaine étape pour Passkeys
Les clés de passe seront intégrées aux systèmes d’exploitation pour iOS 16, iPadOS 16 et macOS Ventura, mais Apple travaille également avec les développeurs pour intégrer la prise en charge de la clé de passe dans leurs applications.
Apple n’a pas encore pu partager les applications compatibles avec Passkey qui seront disponibles au lancement, mais il semble qu’il y ait déjà un élan en arrière-plan. Et ce n’est pas seulement une question de facilité d’utilisation.
« Ces clés publiques n’ont pas vraiment de valeur. Il n’y a rien qui vaut la peine d’être volé », a déclaré Adler. « Cela va donc réduire la responsabilité des développeurs exécutant des services… et les développeurs voudront en profiter en raison de la diminution de la responsabilité. »
Selon Adler, les développeurs ont tout ce dont ils ont besoin pour commencer à implémenter les clés de passe maintenant et les consommateurs bénéficieront d’une assistance lorsqu’ils mettront à jour leurs appareils Apple avec le logiciel nouvellement publié cet automne.
Ainsi, malgré tout le battage médiatique précédent autour de la suppression définitive du mot de passe, cette fois, cela pourrait se produire pour de vrai.
« Ce n’est pas un rêve futur de remplacer les mots de passe », a déclaré Night. « C’est quelque chose qui va être une voie pour remplacer complètement les mots de passe, et ça commence maintenant. »