Les passkeys, pour l’instant faiblement présentes dans les plateformes et applications, sont amenées à se répandre un peu partout dans les années qui viennent. Pour en comprendre l’intérêt, nous revenons sur leur fonctionnement – sur la base des informations actuellement disponibles –, avec des questions/réponses simples, avant de nous pencher sur la pratique.
Les passkeys ont pour mission de remplacer avantageusement les mots de passe. Pourquoi ? Parce que ces derniers accumulent les problèmes depuis longtemps, et que même les gestionnaires dédiés ne peuvent plus contrebalancer certains traits inhérents aux mots de passe.
En premier lieu, ils ne sont pas pratiques. Il faut en créer un différent pour chaque service, pour ne pas risquer une hécatombe de piratages. En effet, réutiliser le même mot de passe expose à des compromissions en série, puisqu’il suffit que des pirates devinent le mot de passe d’un seul service pour s’attaquer à tous les autres. Et non seulement il en faut un différent, mais chacun doit être assez long (au moins 12 caractères) et utiliser les quatre types : majuscules, minuscules, chiffres et caractères spéciaux.
Résultat, on se retrouve vite avec une quantité importante de chaines de caractères difficiles à mémoriser. C’est là que les gestionnaires de mots de passe entrent en piste, en permettant la génération de chaines aléatoires de caractères. Puisqu’ils enregistrent ces informations et les resservent quand nécessaire, on gagne en temps et en sécurité. Rien n’empêche en effet de créer des mots de passe aléatoires de 40 caractères.
Les gestionnaires ne peuvent cependant pas grand-chose contre d’autres aspects problématiques des mots de passe, dont le principal : ils peuvent être volés. Qu’il s’agisse d’une fuite de données chez un prestataire de service, d’un mot de passe trop faible ou du résultat d’une campagne d’hameçonnage, le résultat sera le même : des identifiants dans la nature.
Mais le second facteur ne permet-il pas de juguler ce problème ? Oui, du moins en partie. Se servir du téléphone est une bonne idée au départ, et nous allons voir qu’il va jouer un rôle prépondérant pour les passkeys. Avec les applications actuelles néanmoins, il arrive encore que le code soit envoyé par SMS. Même quand il est généré par une application de type Authenticator (Google, LastPass, Microsoft, etc.), il peut quand même être intercepté. C’est bien sûr plus délicat à réaliser, mais loin d’être impossible.
Les passkeys se proposent de résoudre tous ces problèmes. Elles se veulent plus simples d’utilisation et surtout plus sécurisées, en empêchant l’information identifiante d’être volée. Des tentatives ont déjà été faites par le passé pour se débarrasser des mots de passe, mais c’est la première fois qu’une vaste alliance travaille sur le sujet. Bien que l’on en parle maintenant, les passkeys sont en préparation depuis des années et impliquent notamment Apple, Google et Microsoft, l’ensemble étant chapeauté par la FIDO Alliance.
Notez pour la suite de l’article que nous gardons l’appellation anglaise « passkeys », car sa traduction française varie selon qui en parle. Apple parle par exemple de « clés d’identification », Boursorama de « clés de sécurité », d’autres encore de « codes d’accès », etc. Une cacophonie qui risque de laisser de nombreuses personnes perplexes, et peut entrainer des confusions avec des clés de sécurité comme les YubiKey et autres Titan.