Vocageek #19 : c’est quoi les passkeys ?

La définition

Passkey est un nouveau procédé de sécurité pour se connecter à un compte sur un site web ou sur une application. Ce terme anglais, que l’on peut traduire par « clé d’accès », est un moyen d’accès sans utilisation de mots de passe. Ce mécanisme repose sur des paires de clés cryptographiques. Une clé est privée (que l’on garde secrète) et l’autre est publique (que l’on distribue).

Découvre notre lexique des technologies du numérique

Comment ça marche ?

Pour s’inscrire sur un service, une application ou un site avec un passkey, voici les différentes étapes :

1. Il faut obligatoirement utiliser un appareil qui t’appartient comme un smartphone, un ordinateur ou une tablette.
2. Prenons l’exemple du smartphone. Au moment de l’inscription, l’appareil crée deux clés chiffrées, uniques et spécifiques pour chaque service. D’un côté la clé privée, qui reste sur le smartphone, de l’autre, la clé publique, détenue par le site ou l’application en question.
3. À chaque tentative de connexion, le service posera une sorte de devinette au smartphone, un « défi mathématique » que lui seul pourra résoudre grâce à sa clé privée.
4. Une fois ce « défi » résolu et pour finaliser la connexion, l’utilisateur devra ensuite marquer son approbation et prouver qu’il est bien le propriétaire du smartphone, par exemple en posant son doigt sur le lecteur d’empreintes, en présentant son visage, en tapant un code PIN ou en dessinant un schéma sur l’écran.

Les passkeys reposent sur le chiffrement asymétrique :
une clé sert à chiffrer et une seconde à déchiffrer

Pourquoi les géants du web vont déployer les passkeys ?

Le procédé des passkeys n’en est qu’à ses tout débuts ! Apple, Microsoft et Google, et bientôt Meta et Amazon vont petit à petit proposer cette méthode de sécurité à leurs utilisateurs. Ils comportent bien des avantages. Il n’est pas nécessaire de mémoriser les passkeys. Ils sont beaucoup plus robustes qu’un mot de passe. Chaque clé est suffisamment longue et solide pour que l’on ne puisse pas la deviner. Ce sont aussi des codes uniques. Les fuites de données ne sont pas un problème non plus, car les serveurs n’hébergent à aucun moment les clés privées liées aux passkeys. Ils n’ont accès qu’aux clés publiques. Les méthodes de phising sont elles aussi inopérantes, car si les deux clés sont liées, l’une ne peut pas être utilisée pour obtenir l’autre. Bref, c’est du très solide !

La fenêtre de création d’un passkey sur Android

Les passkeys, c’est pour tout de suite ?

La méthode des passkeys se confronte à quelques limites techniques pour l’instant. Les passkeys peuvent voyager d’un écosystème à l’autre, mais, malheureusement, elles ne se synchronisent pas encore automatiquement entre les clouds d’Apple, Microsoft et Google. Il faut transférer chacun d’eux manuellement, ce qui n’est pas pratique. Par exemple, il devrait être possible qu’un iPhone puisse être utilisé comme mécanisme de déverrouillage d’un ordinateur Windows. Mais, ce n’est pas le cas pour l’instant d’une manière fluide, même si les différents gros acteurs du numérique y travaillent.

Il existe toutefois une solution pour ouvrir sur un nouvel appareil le site web authentifié par un passkey. L’utilisateur se voit proposer d’afficher un QR code, qui constitue une sorte de demande de connexion. Il peut alors scanner ce QR code avec son smartphone, dans lequel est stocké le passkey. Ce smartphone vérifie automatiquement la présence de l’ordinateur à proximité, via une connexion sans fil Bluetooth, pour s’assurer que la demande ne vient pas d’un pirate opérant à distance. Il ne reste plus au particulier qu’à approuver l’authentification.

Les gestionnaires de mots de passe commencent à se préparer pour devenir des gestionnaires de passkeys. C’est le cas de Dashlane, 1Password, LastPass et Bitwarden, notamment.

Pour une courte explication des passkeys, voici cette vidéo de la chaîne Tech & Co :