Des clés d'accès au lieu de la frustration des mots de passe
"123456" était encore en 2022 le mot de passe préféré des Allemands. Avec une telle ingéniosité, nul besoin de compétences en piratage informatique ou d'attaques par force brute. Il est toutefois compréhensible que les gens cherchent des combinaisons aussi faciles à retenir que possible. Les passkeys offrent une solution simple.
Les mots de passe sont la plus grande source de frustration lors des connexions en ligne. 65 pour cent des consommateurs se sentent dépassés par la gestion d'innombrables combinaisons nom d'utilisateur/mot de passe, selon une étude récente commandée par Okta. 75 pour cent souhaitent davantage de contrôle et d'autogestion de leurs données personnelles. L'invitation à renouveler les mots de passe et les exigences élevées en termes de longueur et de complexité créent une frustration supplémentaire. Selon l'enquête d'Okta, la solution préférée des utilisateurs est de se connecter via des comptes sociaux.
Il en résulte d'une part le risque que les grands fournisseurs puissent encore renforcer les quasi-monopoles existants sur le réseau, et d'autre part qu'un tel compte devienne une sorte de clé maîtresse pour les applications en ligne les plus diverses d'un utilisateur. Si des criminels s'emparent de ces identifiants, ils peuvent causer d'importants dommages. Les clés d'accès constituent une solution alternative qui est à la fois confortable pour les utilisateurs et très sûre.
Que sont les clés d'accès ?
De manière très générale, il s'agit d'une procédure d'authentification sans mot de passe. Au lieu d'un secret partagé entre le service et l'utilisateur, comme le mot de passe, on utilise ici la cryptographie asymétrique. L'utilisateur conserve une clé privée sur son appareil personnel et le fournisseur de services reçoit la clé publique correspondante dans le cadre de l'inscription à un nouveau compte. L'authentification se déroule alors de la manière suivante : l'utilisateur reçoit du fournisseur un paquet de données, appelé challenge, à signer. Celui-ci est alors automatiquement signé avec la clé privée de l'utilisateur. Si le fournisseur peut à son tour la décrypter, cela signifie que la paire de clés appartient ensemble et que l'utilisateur est ainsi authentifié.
Les Passkeys ont de nombreux avantages
L'avantage le plus évident : pour les utilisateurs, la solution est beaucoup plus simple et confortable que les mots de passe. Tous les processus sont automatisés en arrière-plan et les utilisateurs n'ont pas besoin d'intervenir eux-mêmes. Ils n'ont plus besoin de taper de mots de passe et de noms d'utilisateur, ni de les mémoriser et de les inventer régulièrement. Cela simplifie considérablement les procédures de connexion sur le réseau. Les passkeys présentent donc également un avantage pour les fournisseurs en ligne. Jusqu'à présent, la création de nouveaux comptes d'utilisateurs avec de nouveaux mots de passe décourageait souvent les utilisateurs. Pour ceux qui ne souhaitent pas recourir à des gestionnaires de mots de passe ou à une connexion avec Google et autres, Passkeys constitue une alternative simple et très sûre.
Par ailleurs, l'absence de secret partagé signifie également qu'en cas d'attaque sur le serveur du fournisseur, aucun mot de passe de valeur ne peut être récupéré, mais tout au plus des clés publiques sans valeur. Le lien entre la clé publique et la clé privée est établi par des questions mathématiques complexes et difficilement réversibles. La complexité est telle qu'il est impossible, même avec des ordinateurs puissants, de calculer une clé privée à partir d'une clé publique en temps réel. Enfin, les clés d'accès sont la meilleure protection contre le phishing. Les criminels n'ont rien à y gagner. Leurs attaques visent en fin de compte à s'emparer du secret partagé, qui n'existe plus en cas d'utilisation de passkeys.
Questions de praticabilité
En théorie, le procédé semble très clair. Mais si l'on pense à l'utilisation au quotidien, des questions surgissent rapidement. Avec un nom d'utilisateur et un mot de passe, on peut par exemple se connecter à son compte e-mail depuis n'importe quel cybercafé du monde. Reste à savoir si cela est recommandé du point de vue de la sécurité - mais c'est possible sans problème. Cela n'est pas possible avec une procédure liée à l'appareil comme les clés d'accès. Mais il existe une solution de contournement assez simple : il suffit d'utiliser un smartphone comme dépôt central pour les clés. Bien entendu, celui-ci doit être équipé de mécanismes de sécurité puissants, comme un capteur d'empreintes digitales ou d'autres caractéristiques biométriques. L'authentification sur n'importe quel appareil fonctionne alors en scannant un code QR sur l'écran de l'appareil avec son téléphone lors de la connexion, en déverrouillant l'appareil et en déclenchant ainsi le processus Passkey.
Bien sûr, les téléphones portables peuvent être perdus, volés ou détruits. Dans ce cas, il faut aussi des procédures de récupération, ou une réinitialisation du compte doit être possible. Cela peut par exemple fonctionner via un autre compte, comme lorsque l'on a oublié un mot de passe aujourd'hui. Google et Apple ont mis en place des mécanismes de synchronisation sur leurs systèmes, qui maintiennent tous les smartphones et tablettes synchronisés en ce qui concerne les clés d'accès à utiliser, sans que Google ou Apple n'en prennent possession. La clé privée reste toujours sur l'appareil.
Le lien entre l'identité réelle et l'identité numérique
Presque partout sur le web où de nouveaux comptes sont créés aujourd'hui, il en résulte une nouvelle identité numérique qui n'est pas liée à l'identité réelle de l'utilisateur. Il est bien sûr possible, par des moyens techniques, de savoir qui se cache derrière un nom d'utilisateur donné. Mais en règle générale, il n'y a pas de lien initial entre l'identité réelle et l'identité numérique sur le réseau. C'est pourtant ce qui est prescrit dans certains cas, par exemple pour l'ouverture d'un compte bancaire en ligne ou pour l'utilisation de signatures électroniques qualifiées. Les clés d'accès peuvent-elles également être utilisées dans ce cas ?
En principe oui, car la procédure d'authentification ne joue aucun rôle au niveau technique pour ce lien. Les fournisseurs tels que les banques ou les prestataires de services de confiance doivent dans ce cas vérifier l'identité des nouveaux utilisateurs selon certaines procédures réglementées par la loi et établir une preuve numérique sécurisée liée à cette vérification. La procédure (mot de passe + authentification multifactorielle ou Passkey) que les utilisateurs utilisent ensuite pour se connecter au service ou valider une signature n'a pas d'importance. Voilà pour la théorie. Swisscom Trust Services a déjà autorisé cette procédure pour l'utilisation de ses signatures et l'a déjà mise en œuvre avec son premier partenaire. Pour activer la clé d'accès, il suffit alors simplement d'une empreinte digitale, de la reconnaissance faciale ou d'un code PIN, qui est également utilisé habituellement pour déverrouiller un smartphone ou un PC.
Il serait intéressant d'utiliser des clés d'accès, par exemple pour déclencher des signatures dans des environnements où les téléphones mobiles sont interdits pour des raisons de sécurité des données ou où les SMS ne peuvent pas être délivrés. Dans les méthodes courantes actuelles, le téléphone portable est utilisé comme deuxième facteur pour déclencher la signature. Cette méthode est par conséquent problématique dans des domaines critiques tels que les centres de données hautement sécurisés, les installations de production blindées ou des environnements similaires. Avec des clés d'accès se trouvant soit directement sur les appareils, soit sur des supports de données séparés (p. ex. clé USB), les utilisateurs pourraient également y apposer une signature qualifiée.
Auteur : Ingolf Rauh, Head of Product and Innovation Management chez Swisscom Trust Services