Apple a présenté des « passkeys » à la WWDC 2022, une nouvelle norme de connexion biométrique qui pourrait enfin tuer le mot de passe pour de bon.
Ce n’est un secret pour personne que les mots de passe ne sont pas sécurisés, les informations d’identification facilement devinables représentant plus de 80 % de toutes les violations de données, selon le rapport annuel de Verizon sur les violations de données. Selon Apple, les clés de passe éliminent entièrement le besoin de mots de passe et sont beaucoup moins susceptibles d’être volées en cas de violation de données ou de tentative de phishing.
Les clés de passe sont basées sur l’API d’authentification Web (WebAuthn), une norme qui utilise la cryptographie à clé publique au lieu des mots de passe pour authentifier les utilisateurs sur les sites Web et les applications, et sont stockées sur l’appareil plutôt que sur un serveur Web. Le remplacement du mot de passe numérique utilise Touch ID ou Face ID pour la vérification biométrique, ce qui signifie qu’au lieu d’avoir à saisir une longue chaîne de caractères, une application ou un site Web auquel vous vous connectez enverra une demande d’authentification à votre téléphone.
Au cours de sa démonstration WWDC de la technologie sans mot de passe, Apple a montré comment les clés d’accès sont sauvegardées dans le trousseau iCloud et peuvent être synchronisées sur Mac, iPhone, iPad et Apple TV avec un cryptage de bout en bout. Les utilisateurs pourront également pour vous connecter à des sites Web et à des applications sur des appareils non Apple à l’aide d’un iPhone ou d’un iPad pour scanner un code QR et Touch ID ou Face ID pour vous authentifier.
« Parce qu’il suffit d’un simple clic pour se connecter, c’est à la fois plus facile, plus rapide et plus sécurisé que presque toutes les formes courantes d’authentification aujourd’hui », a déclaré Garrett Davidson, ingénieur Apple de l’équipe Authentication Experience,
Apple n’est pas seul dans ses efforts pour tuer le mot de passe. Le mois dernier, Google et Microsoft se sont associés à Apple pour étendre la prise en charge des connexions sans mot de passe sur les mobiles, les ordinateurs de bureau et les navigateurs. Ce nouvel engagement collectif a été salué par Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, qui à l’époque l’a qualifié de « type de pensée avant-gardiste qui, en fin de compte, assurera la sécurité des Américains en ligne ».
Apple, Google et Microsoft ont déclaré qu’ils visaient à prendre en charge la nouvelle norme d’authentification sans mot de passe – qui a été établie par l’Alliance FIDO et le World Wide Web Consortium – sur leurs plates-formes au cours de l’année prochaine. Si l’on se fie à la démo WWDC d’Apple, macOS Ventura, iOS 16 et iPadOS 16 seront parmi les premiers systèmes d’exploitation à prendre en charge la nouvelle norme de connexion.
Apple a discrètement annoncé une autre fonctionnalité de sécurité appelée Rapid Security Response lors de son discours d’ouverture de la WWDC, qui, selon elle, rend macOS et iOS plus résistants aux attaques en fournissant des mises à jour de sécurité en arrière-plan sans redémarrage. « Obtenez des améliorations de sécurité importantes sur vos appareils encore plus rapidement », a brièvement déclaré Apple sur son site Web. « Ces améliorations peuvent être appliquées automatiquement entre les mises à jour logicielles standard. »