Alors qu’Apple déploie aujourd’hui sa mise à jour iOS 16, l’une des principales fonctionnalités de sécurité qui sera disponible pour les utilisateurs est Passkey. Cette fonctionnalité permettra aux utilisateurs d’utiliser leurs appareils Apple pour se connecter à des sites Web et à des services sans aucun mot de passe.
Qu’est-ce que Passkey ?
Passkey est la mise en œuvre par l’entreprise d’une norme industrielle conçue pour supprimer les mots de passe pour l’authentification en ligne. Plus tôt cette année, Apple, Google et Microsoft se sont associés à l’Alliance FIDO et au World Wide Web Consortium pour travailler sur la suppression des mots de passe pour l’authentification des utilisateurs sur toutes les plateformes.
Apple a annoncé sa propre version de cette norme appelée Passkey lors de sa conférence mondiale des développeurs (WWDC) en juin. Apple a déclaré que les clés de passe seront prises en charge sur macOS Ventura, iOS 16 et iPadOS 16.
Les clés de sécurité peuvent réduire les risques de compromission de compte car elles suppriment les mots de passe, qui peuvent être divulgués, exposés ou volés, du flux d’authentification. De plus, les clés d’accès ne sont pas réutilisées sur les sites comme les mots de passe peuvent l’être, de sorte que le risque de vol d’informations d’identification affectant d’autres comptes est moindre.
Comment cela fonctionnera-t-il ?
Passkey est basé sur la norme WebAuthn, de sorte que les utilisateurs peuvent utiliser l’authentification biométrique comme Face ID ou Touch ID, ou utiliser un code PIN pour valider une tentative de connexion. À un niveau supérieur, au lieu de s’appuyer sur la combinaison nom d’utilisateur-mot de passe, les clés d’accès utilisent votre appareil pour prouver que vous êtes le propriétaire légitime du compte.
Si vous vous dirigez vers un site Web qui a déjà implémenté Passkey – comme ce site Web de démonstration – vous pouvez voir une nouvelle option de connexion qui utilise des appareils ou des informations d’identification stockées dans votre trousseau iCloud. Si vous n’avez pas de compte pré-enregistré sur le site, il peut vous demander des informations de base et enregistrer le mot de passe dans le trousseau iCloud – aucun mot de passe n’est nécessaire. Une fois que vous avez enregistré un compte, le mot de passe basé sur iCloud est partagé entre les appareils Apple avec le même identifiant Apple.
Tout cela est basé sur les informations d’identification multi-appareils proposées par FIDO qui permettent aux utilisateurs de stocker des clés d’authentification sur plusieurs appareils permettant aux utilisateurs de se connecter sans avoir besoin d’un mot de passe. Cela signifie que cela devrait fonctionner sur toutes les plates-formes, mais Google et Microsoft n’ont pas encore mis en œuvre la technologie sur leurs plates-formes.
Les clés de passe fonctionnent en générant une paire de clés – une clé publique et une clé privée stockées sur l’appareil. La clé publique est stockée dans le cloud et partagée entre les appareils qui ont leurs propres clés privées. Cela garantit également que si un serveur est compromis, l’attaquant ne dispose pas des deux clés pour accéder aux comptes.
Comment les clés de passe sont générées et partagées. Crédits image : Alliance FIDO
Les utilisateurs peuvent gérer leurs clés d’accès directement depuis Réglages > Mots de passe. Il n’y a pas de section distincte pour les clés de sécurité stockées, mais les sites Web qui utilisent des clés de sécurité apparaîtront dans cette section. Les gens peuvent également partager facilement les détails de leur compte avec un ami en appuyant sur le bouton de partage sur l’écran de ce mot de passe particulier et en le partageant via Airdrop avec un contact à proximité.
Alors que se passe-t-il ensuite ?
Actuellement, peu de sites Web prennent en charge l’authentification basée sur la clé d’accès, mais cela devrait augmenter avec le temps à mesure que les développeurs commencent à implémenter des clés d’accès dans leurs services. Initialement, les clés de sécurité seront prises en charge sur les Mac, les iPad et les iPhone. Si vous utilisez une machine Windows ou Chrome ou un téléphone Android, le site vous demandera de vous vérifier à l’aide d’un code QR que vous pourrez scanner via votre iPhone. Si les utilisateurs ne veulent pas s’appuyer sur la sauvegarde basée sur iCloud, les gestionnaires de mots de passe comme Dashlane ont également annoncé la prise en charge du stockage des clés d’accès.
Les passe-partout en sont encore à leurs débuts. La plupart des sites Web populaires reposent toujours sur la combinaison nom d’utilisateur-mot de passe, de sorte qu’un avenir sans mot de passe est encore loin.