Avec les progrès fulgurants de la technologie, il est devenu de plus en plus délicat de conserver ses données sensibles derrière un mot de passe ou une double authentification. C’est là qu’interviennent les « passkeys ».
Passkeys : la FIDO dévoile le CXP
Conçues par l’alliance « Fast IDentity Online » (FIDO), les passkeys ont pour but de simplifier les authentifications des utilisateurs dans n’importe quel service tout en apportant une meilleure protection à leurs données. Ces clés d’accès deviendront-elles la norme en remplaçant les mots de passe traditionnels à l’avenir ?
Passkeys : enfin une alternative aux générateurs de mots de passe ?
Dans le but d’accélérer la transition vers les clés d’accès et offrir aux utilisateurs un moyen sécurisé de transférer leurs identifiants d’un gestionnaire de mots de passe à un autre, la FIDO a travaillé conjointement avec des représentants de 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta, Samsung et SK Telecom.
Selon l’alliance, plus de 12 milliards de comptes ont adopté cette mesure qui rend les connexions « 75 % plus rapides et 20 % plus efficaces que les mots de passe ou les mots de passe plus un deuxième facteur comme le SMS OTP ». L’objectif est simple : offrir un écosystème ouvert qui permet aux utilisateurs de s’identifier sans obstacles techniques et en toute sécurité.
Cette nouvelle norme porte le nom de Credential Exchange Protocol (CXP) et devrait faciliter les authentifications entre les différentes plateformes. L’export de passkeys étant délicat lorsque l’utilisateur est connecté sur de nombreuses machines, le CXP devrait apporter une solution à ce problème.
Selon Wired, un site web répondant au nom de Passkey Central devrait être mis à la disposition des administrateurs et des développeurs. Ce dernier contient des ressources, ainsi que des guides d'implémentation qui facilitent la prise en charge des passkeys.
Une révolution qui devra attendre
La FIDO compte mettre l’accent sur l’expérience utilisateur en déployant tout d’abord des versions d’essai. Selon les différents retours qui seront obtenus sur le dépôt GitHub de l’alliance, elles seront sujettes à des changements pour un déploiement ultérieur au grand public. Selon le site officiel de la FIDO, la nouvelle version préliminaire sera disponible le vendredi 18 octobre.
Selon l’alliance, 81 % des piratages sont causés par des mots de passe considérés comme « faibles ou volés » et 54 % des utilisateurs ont constaté une hausse des tentatives de phishing (la réception de mails malveillants, de plus en plus sophistiqués, a eu un bond de 1 265 % depuis le quatrième trimestre de 2022). De leur côté, les passkeys devraient réduire le temps de connexion des utilisateurs de 75 % et les chances de réinitialisation des mots de passe de 95 %. Cela fait donc de ces clés d'accès une solution pour protéger ses comptes contre les cyberattaques.
Il convient de rappeler que ce système de passkeys constitue une innovation majeure, puisqu'il n'existait auparavant aucun moyen sécurisé pour transférer ses identifiants. En effet, le transfert de mots de passe entre les différents gestionnaires devait souvent s’effectuer en clair. Reste à savoir si la FIDO parviendra à créer un écosystème propice à faciliter ces échanges de manière fiable.