Si vous avez des comptes sur une multitude de plateformes en ligne, il y a de fortes chances que vous ayez une quantité considérable de mots de passe à mémoriser. Même si les gestionnaires de mots de passe sont d’une grande aide, ne serait-il pas plus simple de ne plus avoir à s’en souvenir ? C’est précisément l’objectif des « clés d’accès » récemment présentées. Alors, que sont les Passkeys et comment les utiliser ? Nous allons explorer ce sujet en détail.
Comprendre les clés d’accès et leur utilisation (2022)
Définition des clés d’accès
Une clé d’accès (Passkey) est une nouvelle norme, basée sur l’API d’authentification Web (WebAuthn), qui utilise la cryptographie à clé publique pour authentifier les applications et les sites Web. Cette technologie permet à votre appareil de conserver des informations de clé privée, utilisées ensuite pour générer des signatures pour votre authentification auprès d’un serveur Web. Cela se traduit par une connexion sécurisée et sans friction, où les mots de passe deviennent obsolètes.
Au lieu des mots de passe traditionnels ou des codes de double authentification, les Passkeys exploitent des méthodes telles que Face ID ou Touch ID pour vérifier votre identité et permettre la connexion. L’ambition des Passkeys (si leur mise en œuvre est complète) est d’éliminer complètement les mots de passe. Ainsi, vous n’aurez plus à vous soucier de créer, gérer, et surtout, vous rappeler vos mots de passe.
Fonctionnement des clés d’accès
Pour comprendre comment fonctionnent les Passkeys, il est utile de se rappeler comment fonctionnent les mots de passe. Cela permettra de mieux appréhender les différences entre ces deux méthodes d’authentification.
Les mots de passe sont transmis sur le réseau et transformés par une fonction de hachage. Ce hachage est ensuite conservé dans une base de données. Lorsque vous vous connectez, le hachage saisi est comparé à celui stocké sur le serveur. Si les deux correspondent, l’accès au compte est accordé. Pour renforcer la sécurité, une authentification à deux facteurs est généralement requise.
Crédit image : Apple
Les Passkeys, quant à elles, génèrent une paire unique de clés : une clé publique et une clé privée. La clé publique est stockée sur le serveur Web, tandis que la clé privée reste sur votre appareil.
La clé publique, étant l’équivalent d’un nom d’utilisateur, n’a pas besoin d’être gardée secrète car elle ne peut pas être utilisée pour imiter votre mot de passe stocké sur un serveur. Par conséquent, sa sécurité n’est pas un problème.
La clé privée, elle, est précieusement gardée sur votre appareil et ne le quitte jamais. De plus, elle est protégée par le trousseau iCloud, ce qui la met à l’abri des attaques de suivi et de phishing. Ni vous, ni le serveur, n’avez d’informations sur cette clé privée, ce qui assure qu’elle ne peut être ni compromise, ni exploitée.
Lorsque vous souhaitez accéder à votre compte, votre Passkey génère une signature qui est transmise au serveur pour valider votre identité. Le serveur utilise alors la clé publique qu’il possède déjà pour vérifier cette signature et autoriser l’accès à votre compte. Ce processus élimine non seulement le besoin de codes de double authentification, mais garantit également que votre clé privée ne quitte jamais votre appareil. C’est ce qui fait des Passkeys une option plus sûre que les mots de passe.
Pourquoi les clés d’accès sont-elles plus sûres ?
Contrairement à l’authentification à deux facteurs qui utilise le Wi-Fi, les Passkeys s’appuient sur le Bluetooth pour assurer la sécurité. Grâce au Bluetooth, les Passkeys peuvent non seulement vérifier une proximité physique, mais aussi confirmer que c’est bien l’utilisateur légitime qui essaie d’accéder à son compte.
Étant donné que les clés d’accès sont verrouillées et ne quittent jamais votre appareil, un pirate devrait avoir un accès physique à votre appareil, et réussir à s’authentifier avec Face ID ou Touch ID pour le déverrouiller et accéder à votre compte. Un défi de taille, n’est-ce pas ? De plus, même vous ne connaissez pas votre Passkey. Pour couronner le tout, les clés d’accès sont protégées par un cryptage de bout en bout très performant afin de réduire au minimum toute possibilité d’activité malveillante.
À l’inverse, les mots de passe sont conservés sur un serveur et dépendent des codes de double authentification pour une connexion sécurisée. Dans une ère où les fuites de données de sites Web sont fréquentes et où les codes de vérification ne sont jamais totalement à l’abri, il est grand temps de dire au revoir aux mots de passe et à la 2FA.
Comment créer une clé d’accès sur iPhone
La création d’une clé d’accès sur iPhone est extrêmement simple. Les sites Web qui prennent en charge les Passkeys affichent automatiquement une notification pour vous proposer d’enregistrer une Passkey pour vous connecter. Voici la procédure à suivre sur votre iPhone :
- Lorsque vous vous inscrivez sur un site Web qui a intégré la prise en charge des Passkeys, vous verrez apparaître un message tel que : « Voulez-vous enregistrer une clé d’accès pour <votre nom d’utilisateur> ? Les clés d’accès sont enregistrées dans votre trousseau iCloud et utilisables sur tous vos appareils. »
- Appuyez sur « Continuer » et authentifiez-vous via Face ID ou Touch ID pour enregistrer votre clé d’accès dans votre trousseau.
Les Passkeys étant synchronisées avec le trousseau iCloud, assurez-vous que votre gestionnaire de mots de passe intégré est bien activé.
- Allez dans l’application Réglages de votre iPhone. Puis, appuyez sur votre profil et choisissez iCloud.
- Ensuite, appuyez sur Mots de passe et trousseau, et vérifiez que la synchronisation avec cet iPhone/iPad est bien activée.
Comment créer une clé d’accès sur Mac
La configuration d’une Passkey sur Mac est tout aussi simple.
- Rendez-vous sur le site ou l’application où vous souhaitez utiliser une Passkey, puis enregistrez votre compte comme d’habitude.
- Une fenêtre apparaîtra vous demandant si vous souhaitez enregistrer une clé d’accès. Cliquez sur « Continuer avec Touch ID » et authentifiez-vous. Si votre Mac ne prend pas en charge Touch ID ou que vous ne l’utilisez pas, vous devrez vous authentifier à l’aide de votre mot de passe administrateur. Après cette étape, votre Passkey sera prête à l’emploi sur ce site.
Comment utiliser les clés d’accès sur iPhone
Une fois vos Passkeys créées, leur utilisation est très simple.
- Allez sur l’application ou le site auquel vous souhaitez vous connecter, puis appuyez sur le bouton « Se connecter ».
- Un message apparaîtra en bas de l’écran indiquant : « Voulez-vous vous connecter à ‘Nom du site/de l’application’ avec votre clé d’accès enregistrée pour ‘Nom d’utilisateur’ ? Appuyez sur Continuer. Authentifiez-vous avec Face ID/Touch ID et le tour est joué !
Comment utiliser les clés d’accès sur Mac
- Accédez à l’application ou au site où vous souhaitez utiliser une clé d’accès et cliquez sur « Connexion ».
- Une notification vous proposera de vous connecter en utilisant votre clé d’accès. Si Touch ID est configuré sur votre Mac, utilisez-le pour valider votre accès.
- Si votre Mac ne prend pas en charge Touch ID ou si vous ne l’utilisez pas, cliquez sur « Autres options de connexion ».
- Sélectionnez l’option « Utiliser le mot de passe d’un appareil avec une caméra ».
- Vous serez alors invité à scanner le code QR avec votre iPhone ou iPad.
- Après avoir scanné le code, vous verrez les différentes Passkeys enregistrées dans votre trousseau iCloud pour ce site Web. Choisissez la bonne et appuyez sur « Continuer ».
- Authentifiez-vous avec Face ID/Touch ID et c’est tout ! Vous serez connecté à votre compte sur le site.
Comment fonctionnent les clés d’accès sur Android et Windows ?
Récemment, l’Alliance FIDO a annoncé qu’Apple, Google et Microsoft s’engageaient à adopter sa nouvelle méthode d’authentification sans mot de passe, baptisée « FIDO Standard ». Apple a déjà franchi le pas avec les Passkeys. La norme FIDO étant également mise en œuvre sur Android (annoncée lors de Google I/O 2022) et les appareils Windows, vous pourrez utiliser les Passkeys même en dehors de l’écosystème Apple.
Crédit image : Apple
Pour répondre à la question du fonctionnement des Passkeys sur Android et Windows, et surtout, si le niveau de sécurité est comparable sur d’autres plateformes, la réponse est oui. Lorsque vous tentez de vous connecter à votre compte sur un autre appareil, vous serez invité à scanner un code QR avec votre iPhone ou iPad. Ensuite, les Passkeys vous demanderont de vérifier votre identité via Face ID ou Touch ID pour s’assurer que c’est bien vous qui essayez de vous connecter. En résumé, la procédure d’utilisation des Passkeys sur Windows ou Android est quasiment identique à celle sur un Mac sans Touch ID.
Avantages et limites des clés d’accès
| Avantages | Inconvénients |
| Connexion facile | Fonctionne uniquement avec les systèmes d’exploitation récents (iOS 16, iPadOS 16 et macOS 13) |
| Votre clé d’accès ne quitte jamais votre appareil | Nécessite un accès physique à votre appareil lors de la connexion |
| Ni vous ni personne d’autre ne connait votre clé d’accès | Moins adapté aux personnes à risque élevé de piratage |
| Élimine le besoin de double authentification | Nécessite une proximité physique lors de la connexion |
| Doit être validé avec Face ID/Touch ID | Fonctionne sur tous les appareils |
| Se synchronise sur les appareils Apple via le trousseau iCloud | Peut être partagé via AirDrop |
| Protection de bout en bout | Protège contre le phishing et le suivi |
Foire aux questions sur les clés d’accès
Peut-on utiliser les Passkeys sous iOS 15 et macOS 12 ?
Oui, mais de manière limitée. Bien que macOS 12 et iOS 15 soient compatibles avec la norme FIDO, l’ancienne méthode exige de se connecter à chaque application et site Web sur chacun de vos appareils avant de proposer une expérience de connexion sans mot de passe, ce qui n’est pas optimal en pratique.
Comment les Passkeys sont-elles synchronisées avec les autres appareils ?
Les Passkeys sont synchronisées sur les appareils Apple connectés au même compte via le trousseau iCloud. Tant que vous êtes connecté avec le même compte iCloud, toutes vos clés d’accès seront disponibles partout.
Comment partager les clés d’accès avec d’autres personnes ?
Vous pouvez partager vos clés comme vous le feriez avec vos mots de passe via AirDrop. Les clés d’accès étant conservées dans le trousseau iCloud, vous pouvez facilement les retrouver et les partager. Allez dans le mot de passe que vous souhaitez partager (dans le trousseau), appuyez sur le bouton de partage, puis sur l’appareil à proximité. C’est terminé.
Que faire si l’authentification avec Face ID/Touch ID échoue ?
Si vous n’avez pas accès à votre appareil ou si vous ne pouvez pas vous authentifier avec Face ID/Touch ID, vous pouvez vérifier votre identité avec d’autres options de connexion, par exemple un mot de passe.
Les gestionnaires de mots de passe vont-ils disparaître ?
Les mots de passe semblant être sur le déclin, les gestionnaires de mots de passe vont-ils devenir inutiles ? Pour s’adapter à l’évolution, les principaux gestionnaires ont déjà annoncé la prise en charge de FIDO Standard. Vous pouvez donc vous attendre à ce qu’ils vous permettent de gérer et d’utiliser vos Passkeys de manière plus pratique. Il sera intéressant de voir comment ils s’adaptent à ce nouveau rôle et s’ils restent aussi utiles qu’aujourd’hui.
Quand les Passkeys seront-elles pleinement implémentées ?
Maintenant qu’Apple a mis l’API d’authentification Web à disposition des développeurs, c’est à eux de rendre leurs applications et sites Web compatibles avec cette méthode de connexion sans mot de passe. Comme toute nouvelle technologie, il faudra du temps pour qu’elle soit pleinement adoptée. Espérons que l’implémentation des Passkeys sera plus rapide que celle du mode sombre (introduit avec iOS 13), qui n’est toujours pas pris en charge par tous les sites Web.
Connectez-vous plus vite et plus sûrement avec les clés d’accès
La gestion des mots de passe est une corvée, et les Passkeys pourraient bien être la solution. Comme elles fonctionneront sur les appareils Apple, mais aussi sur Windows et Android, il y a de fortes chances que nous puissions nous débarrasser une bonne fois pour toutes des mots de passe. Google devrait implémenter la prise en charge des Passkeys d’ici l’année prochaine, et comme elles reposent sur l’authentification FIDO, elles devraient devenir la norme sur le Web et nos appareils. Alors, que pensez-vous de ce nouvel avenir sans mot de passe ? Partagez votre opinion dans les commentaires.