Aujourd’hui, la réalité d’un avenir sans mot de passe fait un grand pas en avant, avec la possibilité d’abandonner les mots de passe pour des millions de personnes. Lorsqu’Apple lancera iOS 16 le 12 septembre et macOS Ventura le mois prochain, le logiciel inclura son remplacement des mots de passe, connu sous le nom de passkeys, pour les iPhones, iPads et Macs.

Les passkeys vous permettent de vous connecter à des apps et des sites web, ou de créer de nouveaux comptes, sans avoir à créer, mémoriser ou stocker un mot de passe. Cette clé, qui se compose d’une paire de clés cryptographiques, remplace votre mot de passe traditionnel et est synchronisée avec le trousseau d’iCloud. Elle a le potentiel d’éliminer les mots de passe et d’améliorer votre sécurité en ligne, en remplaçant les mots de passe non sécurisés et les mauvaises habitudes que vous avez probablement actuellement.

Le déploiement des passkeys par Apple est l’une des plus importantes mises en œuvre de la technologie sans mot de passe à ce jour et s’appuie sur des années de travail de l’Alliance FIDO, un groupe industriel composé des plus grandes entreprises technologiques. Les clés électroniques d’Apple sont sa version des normes créées par l’Alliance FIDO, ce qui signifie qu’elles fonctionneront à terme avec les systèmes de Google, Microsoft, Meta et Amazon.

Qu’est-ce qu’une clé de sécurité ?

L’utilisation d’une clé de passe est similaire à celle d’un mot de passe. Sur les appareils Apple, elle est intégrée aux boîtes de mot de passe traditionnelles que les sites Web et les applications utilisent pour vous permettre de vous connecter. Les clés de passe font office de clé numérique unique et peuvent être créées pour chaque application ou site Web que vous utilisez. (Le mot « passkey » est également utilisé par Google et Microsoft, la FIDO les appelant « crédences FIDO multi-dispositifs »).

Si vous êtes nouveau sur une application ou un site Web, il est possible que vous puissiez créer une clé de passe au lieu d’un mot de passe dès le départ. Mais pour les services où vous avez déjà un compte, il est probable que vous devrez vous connecter à ce compte existant en utilisant votre mot de passe, puis créer une clé d’accès.

Les démonstrations d’Apple concernant cette technologie montrent qu’une invite apparaît sur vos appareils pendant la phase de connexion ou de création de compte. Cette boîte vous demandera si vous souhaitez « enregistrer une clé d’accès » pour le compte que vous utilisez. À ce stade, votre appareil vous invitera à utiliser Face ID, Touch ID ou une autre méthode d’authentification pour créer la clé de passe.

Une fois créée, la clé de passe peut être stockée dans le trousseau d’iCloud et synchronisée sur plusieurs appareils – ce qui signifie que vos clés de passe seront disponibles sur votre iPad et votre MacBook sans travail supplémentaire. Les clés d’accès fonctionnent dans le navigateur web Safari d’Apple ainsi que sur ses appareils. Ils peuvent également être partagés avec des appareils Apple proches à l’aide d’AirDrop.

Comme les clés d’identification d’Apple sont basées sur les normes plus larges sans mot de passe créées par l’Alliance FIDO, il est possible qu’elles puissent être stockées ailleurs également. Par exemple, le gestionnaire de mots de passe Dashlane a déjà annoncé qu’il prenait en charge les clés d’accès, affirmant qu’il s’agissait d’une « solution indépendante et universelle, indépendante de l’appareil ou de la plate-forme ».

Alors qu’Apple lance les passkeys avec iOS 16 et macOS Ventura, il y a plusieurs réserves à son déploiement. Premièrement, vous devez mettre à jour vos appareils avec le nouveau système d’exploitation. Deuxièmement, les applications et les sites Web doivent prendre en charge l’utilisation des clés d’accès – ils peuvent le faire en utilisant les normes FIDO. Avant les mises à jour d’Apple, il est difficile de savoir quelles applications ou quels sites Web prennent déjà en charge les clés de passe, bien qu’Apple ait présenté cette technologie aux développeurs lors de sa conférence des développeurs en 2021.

Comment fonctionnent les clés d’accès d’Apple ?

Les clés d’accès d’Apple sont basées sur l’API d’authentification Web (WebAuthn), développée par l’Alliance FIDO et le World Wide Web Consortium (WC3). Les clés d’accès elles-mêmes utilisent une cryptographie à clé publique pour protéger vos comptes. Par conséquent, un mot de passe n’est pas quelque chose qui peut être (facilement) tapé.

Lorsque vous créez un mot de passe, une paire de clés numériques connexes est créée par votre système. « Ces clés sont générées par vos appareils, de manière sécurisée et unique, pour chaque compte », explique Garrett Davidson, ingénieur au sein de l’équipe chargée de l’expérience d’authentification d’Apple, dans une vidéo consacrée aux clés de passe. L’une de ces clés est publique et stockée sur les serveurs d’Apple, tandis que l’autre est une clé secrète et reste sur votre appareil à tout moment. « Le serveur n’apprend jamais quelle est votre clé privée, et vos appareils la gardent en sécurité », a déclaré Davidson.

Lorsque vous essayez de vous connecter à l’un de vos comptes à l’aide d’un mot de passe, le serveur du site Web ou de l’application envoie à votre appareil un « défi », lui demandant essentiellement de prouver que c’est bien vous qui vous connectez. La clé privée, qui est stockée sur votre appareil, est capable de répondre à ce défi et de renvoyer sa réponse. Cette réponse est ensuite validée par la clé publique, qui vous permet alors de vous connecter. « Cela signifie que le serveur peut être sûr que vous avez la bonne clé privée, sans savoir ce qu’est réellement la clé privée », explique M. Davidson.

Et si je n’utilise pas uniquement des appareils Apple ?

Que se passe-t-il si je n’utilise pas uniquement des appareils Apple ?

Apple ayant développé ses clés de sécurité sur la base des normes de l’Alliance FIDO, les clés de sécurité peuvent fonctionner sur tous les appareils et sur le web. Si vous essayez de vous connecter à l’un de vos comptes sur une machine Windows, vous devrez utiliser une méthode légèrement différente car vos clés ne seront pas stockées sur cette machine. (S’ils sont enregistrés dans un gestionnaire de mots de passe externe, vous devrez d’abord vous connecter à celui-ci).

Au lieu de cela, lorsque vous vous connecterez à un site Web dans Google Chrome, par exemple, vous devrez utiliser un code QR et votre iPhone pour vous aider à vous connecter. Le code QR contient une URL qui comprend des clés de chiffrement à usage unique. Une fois scannés, votre téléphone et l’ordinateur sont en mesure de communiquer à l’aide d’un réseau crypté de bout en bout via Bluetooth et de partager des informations.

« Cela signifie qu’un code QR envoyé dans un courriel ou généré sur un faux site Web ne fonctionnera pas, car un attaquant distant ne sera pas en mesure de recevoir l’annonce Bluetooth et d’effectuer l’échange local », explique M. Davidson. Ce processus se déroule entre votre téléphone et le navigateur web – le site web sur lequel vous vous connectez n’est pas concerné.

Outre Apple, d’autres entreprises technologiques sont à différents stades du déploiement de leur propre technologie de clé publique. Les pages destinées aux développeurs de Google indiquent que la prise en charge des clés de passe par les développeurs Android devrait être disponible « vers la fin de l’année 2022 ». Microsoft utilise depuis quelques années des systèmes de connexion sans mot de passe et affirme que « dans un avenir proche », il sera possible de se connecter à un compte Microsoft avec une clé d’accès à partir d’un appareil Apple ou Google.

Les clés de sécurité sont-elles meilleures que les mots de passe ?

Aucun système n’est infaillible, mais les mots de passe que les gens utilisent actuellement constituent l’un des plus gros problèmes de sécurité sur le Web. Chaque année, les mots de passe les plus utilisés – selon l’analyse des violations de données – sont dominés par « 123456789 » et « password ». L’utilisation de mots de passe faibles et répétés est l’un des risques les plus importants pour votre vie en ligne.

L’abandon des mots de passe bénéficie d’un large soutien : l’alliance FIDO regroupe pratiquement toutes les grandes entreprises technologiques, qui travaillent toutes à l’élimination du mot de passe. Jen Easterly, directrice de l’Agence américaine de cybersécurité et de sécurité des infrastructures, a salué l’adoption de technologies sans mot de passe en mai dernier.