Depuis quelques années, Apple, Microsoft et Google travaillent à un remplacement des mots de passe, les “passkeys”, qui éliminerait la nécessité d’écrire les mots de passe sur un morceau de papier et optimise l’utilisation des mots de passe stockés sur un gestionnaire de mots de passe. Aujourd’hui, le projet arrive à son terme. Les ordinateurs mac commenceront à prendre en charge les clés passe-partout dans le courant du mois de septembre, lorsqu’Apple publiera son nouveau logiciel de base Mac OS Ventura. Les iPhones et iPads, quant à eux, prennent en charge les clés passe-partout depuis lundi 12 septembre, avec le nouveau logiciel de base iOS 16. Microsoft a déjà fait en sorte que les clés d’accès puissent être utilisées avec Windows, et la société affirme qu’elle ajoutera d’autres fonctionnalités. Un petit pas pour l’homme, un grand pas pour l’identification numérique !
Le PassKey, qu’est-ce que c’est ?
Un PassKey ou clé passe-partout est une séquence de caractères utilisée pour authentifier l’identité d’un utilisateur. Les clés passent partout peuvent être utilisées avec ou sans mot de passe. Les mots de passe sont la principale méthode d’authentification utilisée par les entreprises et leurs utilisateurs. Ils sont aussi probablement l’une des méthodes d’authentification les plus frustrantes pour les utilisateurs. Afin d’y remédier, Apple, Microsoft et Google ont utilisé la technologie DLT (des livres distribués) pour permettre aux utilisateurs de s’authentifier à l’aide d’un mot de passe unique.
Pour vous inscrire à un service, une application ou un site (par exemple, un commerçant), vous devez utiliser un appareil qui vous appartient : un smartphone, un ordinateur ou une tablette. Si vous êtes sur votre smartphone par exemple, deux clés cryptées seront générées au moment de l’inscription, dont l’une reste sur le téléphone, et l’autre est détenue par le service ou l’application en question. La clé privée, qui reste sur le smartphone, et la clé publique, qui est détenue par le site web ou l’application sont uniques et spécifiques. À l’instar de ce que l’on retrouve lors de la création d’un software wallet comme Métamask ou Argent.
Un moyen d’authentification plus pratique et plus sécurisé
Lors de la connexion, le service répondra par une enigme au smartphone qui devra alors le résoudre grâce à la clé privée. Une fois la connexion établie, l’utilisateur devra alors vérifier qu’il est bien le propriétaire du téléphone, par exemple en posant son doigt sur le scanner d’empreintes digitales, en montrant son visage, en tapant un code PIN ou en faisant un dessin.
Autrement dit, le Passkey est une solution d’authentification qui s’appuie sur une authentification forte à deux facteurs pour contourner le besoin d’un mot de passe traditionnel. C’est un système basé sur une double identification qu’un administrateur configure pour chaque utilisateur dans son compte Active Directory. Contrairement à un mot de passe qui est généré avec un compte utilisateur spécifique, une clé de passe (ou PassKey) est générée en une seule fois et n’est valable que pour une seule session de connexion. Une fois qu’un utilisateur s’est connecté au système avec une clé d’accès, il n’a plus besoin de montrer ses informations d’identification jusqu’à sa prochaine connexion. Comme un mot de passe n’est valable que pour une seule session de connexion, une personne malveillante qui obtiendrait les informations d’identification d’un utilisateur ne pourrait pas s’authentifier auprès du système et cela, ce système est beaucoup plus sécurisé que le système de mots de passes traditionnel.
Les mots de passe sont la principale méthode d’authentification utilisée par les entreprises et leurs utilisateurs. Ils sont aussi probablement l’une des méthodes d’authentification les plus frustrantes pour les utilisateurs. La majorité des entreprises ont mis en place des politiques de mot de passe pour renforcer l’authentification des utilisateurs et leur sécurité. Il existe de nombreuses politiques de mot de passe différentes que vous pouvez utiliser avec vos comptes Active Directory, telles que l’exigence d’au moins 10 caractères avec un mélange de lettres majuscules et minuscules, de symboles et de chiffres, la limitation de la durée de vie d’un mot de passe ou l’interdiction des mots courants comme mots de passe.
Cependant, les mots de passe traditionnels présentent un problème inhérent : ils sont stockés dans un format haché sur des serveurs, ce qui les rend impossibles à craquer directement mais de manière détourner lorsque l’on connaît la valeur originale du mot de passe d’un utilisateur spécifique. Par conséquent, si un attaquant obtient l’accès aux informations d’identification de l’utilisateur (par exemple, par le biais d’une attaque par hameçonnage ou par force) et il devient difficile de déterminer si celles-ci ont été obtenues à partir d’une autre source ou si elles ont été capturées directement à partir du compte de la cible.
En effet, aujourd’hui, les campagnes de phishing sont une source bien connue pour piéger les victimes de piratage, car à travers ces techniques, de nombreux utilisateurs fournissent involontairement leurs mots de passe, souvent utilisés de plusieurs fois sur différents comptes. Un utilisateur est vite tenté d’utiliser le mot de passe pour son e-mail et d’autres services en lignes comme les réseaux sociaux. Par ailleurs, le stockage des mots de passe sur serveur est source de vulnérabilité. Avec l’essor de la clé d’accès, une clé cryptographique qui sera proposée lors de la création d’un compte sur un site web ou une application au lieu d’un mot de passe, les piratages seront alors difficiles à mener.
Comment cela fonctionne-t-il ?
Passkey utilise le compte Active Directory d’un utilisateur et la clé configurée par l’administrateur pour authentifier l’identité d’un utilisateur. Les utilisateurs sont authentifiés sur la base des détails de leur compte Active Directory et de la clé de passe définie par l’administrateur. Pour chaque compte d’utilisateur, un administrateur peut configurer une “clé de passe” ou PassKey qui est requise par l’utilisateur lorsqu’il se connecte au système. La “clé de passe” peut être une chaîne de caractères, de chiffres et de symboles de 8 à 32 caractères. Une fois le compte créé, la clé privée est fusionnée avec un trousseau de mots de passe pour chaque service utilisé, qui est sur le smartphone (si l’inscription est faite sur smartphone sinon sur son ordinateur) et dans un espace de stockage en ligne : Google Drive, iCloud ou OneDrive, selon le système d’exploitation accessible uniquement par l’utilisateur.
Un moyen plus simple et sécurisé pour conserver et utiliser ses mots de passe.
L’identification numérique est un des sujets phares dans l’écosystème crypto car la technologie est particulièrement adaptée pour résoudre les problèmes (usurpation/sécurisation) et limites (violation de la vie privée) inhérentes à l’identification et l’authentification en ligne. Des études sont menées depuis quelques années, sur ces questions, notamment au niveau gouvernemental. Récemment en France, un rapport détaillé traitant de la question a été publié en 2021 par le ministère de l’intérieur. Ce rapport aborde les enjeux et limites actuelles auxquelles fait face la France pour la mise en place d’une telle initiative, à découvrir ICI.
Bon à savoir
🚀 Vous souhaitez accéder à un autre niveau de connaissance ? Développer des projets innovants et durables ? Nous avons une très bonne nouvelle à vous annoncer !
Dès le 29 septembre, nous lançons la Newsletter l’Éclairage Crypto dans laquelle nous explorerons en profondeur l’industrie crypto, dès septembre.
👉Alors, si vous êtes un entrepreneur ou une personne curieuse, désireuse d’en savoir davantage sur l’actualité et la technologie cryptographique; d’en connaître les cas d’usage concrets tout en étant à la pointe de l’information ? Cette newsletter est faite pour vous !
👉Inscrivez-vous dès maintenant pour ne rien manquer : JE M’INSCRIS
