Les mots de passe, souvent perçus comme un mal nécessaire, sont remis en question par l’émergence des passkeys. Ces derniers promettent de révolutionner notre manière de nous connecter en alliant sécurité accrue et simplicité d’utilisation. Pourtant, bien que les passkeys semblent avoir le potentiel de rendre l’authentification beaucoup plus fluide et sûre, des défis non négligeables subsistent. Explorons ensemble cette technologie qui aspire à remplacer un ancien système obsolète.
Passkeys : une nouvelle approche de sécurité
Les mots de passe présentent de nombreuses failles de sécurité, notamment :
- Les sites peuvent avoir accès à vos mots de passe, même s’ils sont censés être chiffrés.
- Les utilisateurs peu expérimentés re-utilisent souvent les mêmes mots de passe, ce qui rend les violations de données encore plus problématiques.
- Les attaques par phishing ciblent fréquemment les mots de passe, les rendant vulnérables.
Les passkeys, quant à eux, répondent efficacement à ces dérives. Lors de la connexion, au lieu d’entrer un identifiant et un mot de passe, nous sollicitons un passkey. Cela implique que le site demande à notre appareil de nous authentifier grâce à des moyens biométriques comme Face ID ou Touch ID, garantissant ainsi notre identité.
Cette méthode de validation installe un climat de confiance similaire à celui éprouvé lors des paiements via Apple Pay, où seule la vérification biométrique localisée prime.
Simplicité des passkeys en théorie
Imaginez un système où, lors de la création de votre compte, vous avez la possibilité d’opter pour un passkey. Si vous donnez votre accord, l’appareil se charge de l’authentification et l’enregistrement de votre compte. La prochaine fois, un simple usage de Face ID ou Touch ID vous permet d’accéder à votre compte sans tracas.
De nombreux défis à relever
Pour les utilisateurs d’appareils Apple utilisant Safari, l’idée de passkeys semble simple. Grâce à la synchronisation iCloud, un compte créé sur un appareil est directement accessible sur tous les autres. Cela dit, la réalité est loin d’être uniforme sur toutes les plateformes, comme le souligne un récent article d’Ars Technica.
Se connecter à PayPal via un passkey sur Windows n’est pas comparable à l’expérience sur iOS, et encore moins avec Edge sur Android. Les limitations sont notables, surtout avec Firefox qui ne prend pas en charge l’authentification via passkey.
Une autre complication réside dans le fait que les passkeys sont souvent liés à des navigateurs spécifiques, ce qui complique leur gestion. Par exemple, un passkey créé pour LinkedIn sur Firefox pourrait ne pas fonctionner de la même manière sur d’autres navigateurs.
Lorsque j’essaie d’utiliser un passkey créé dans Firefox sur différents appareils, je me rends compte que, malgré les efforts pour synchroniser avec 1Password, je me heurte à des messages d’erreur qui me poussent vers d’autres systèmes.
Par ailleurs, les géants de la technologie comme Google et Apple semblent orienter les utilisateurs vers leurs propres systèmes de gestion de passkeys, ce qui peut être frustrant pour ceux qui souhaitent conserver leur indépendance.
Démontrer la force des passkeys, c’est aussi naviguer dans un parcours souvent détourné vers des solutions que je ne désire pas toujours emprunter.
Enfin, malgré le souhait d’éliminer les failles des mots de passe, la plupart des services continuent d’imposer une création de mot de passe classique. Il est rare de trouver un site permettant un accès purement basé sur un passkey.
Parmi les centaines de sites soutenant les passkeys, il semble qu’aucun n’accepte encore de se passer totalement des mots de passe, laissant ainsi la porte ouverte à de nouvelles vulnérabilités.
L’analyse complète de ces problématiques et de leur portée mérite que l’on s’y attarde. Alors que les passkeys sont un pas dans la bonne direction, de nombreux ajustements sont nécessaires pour en faire un standard fiable.