La montée des passkeys : une solution prometteuse, mais à quel prix ?

L’ère des mots de passes traditionnels touche à sa fin, pour laisser place aux passkeys qui se veulent plus sécurisées. Mais est-ce une solution parfaite pour faire face aux cyberattaques ?

Par Belaid Lamara Publié le 28/09/2024 à 13 h 33 min
Passkeys - Clé et cadenas sur un clavier
Passkeys - Clé et cadenas sur un clavier © Point GPhone

Depuis des décennies, les mots de passe sont le pilier central de l'authentification en ligne, malgré leurs faiblesses bien connues. Leurs vulnérabilités ont donné naissance à de nouvelles approches comme l'authentification à deux facteurs (2FA), mais les technologies avancent rapidement, et les passkeys (ou clés d'accès) sont désormais en tête des solutions promues comme plus sécurisées, plus simples et plus conviviales. Cependant, derrière l'enthousiasme pour ces nouvelles clés, des critiques notables émergent.

Qu'est-ce qu'une passkey ?

Les passkeys reposent sur un système de cryptographie à clé publique, où une combinaison privée reste sur votre appareil et une autre, publique, est partagée avec le service auquel vous souhaitez accéder. Lors de la connexion, vous authentifiez votre identité via un mécanisme local, comme l'empreinte digitale ou la reconnaissance faciale. Contrairement aux mots de passe, les passkeys ne peuvent pas être devinées, réutilisées ou phishées directement.

D'un point de vue technique, elles offrent une promesse alléchante de sécurité renforcée. Le principe est simple : en supprimant l'élément humain fragile du mot de passe, on réduit les attaques par force brute, les phishing et les mauvaises pratiques courantes (comme l'utilisation du même mot de passe pour plusieurs services).

Des avantages théoriques séduisants

Les avantages des clés d'accès sont bien documentés. Elles résolvent plusieurs problèmes majeurs des mots de passe :

  • Phishing : aucun mot de passe à saisir signifie qu'un utilisateur ne peut pas être trompé en partageant des informations sensibles sur un site malveillant.
  • Mots de passe faibles : les utilisateurs n'ont plus à créer ni à mémoriser de code d'accès, évitant ainsi l'erreur classique de la combinaison facile à deviner.
  • Réutilisation des mots de passe : avec les passkeys, chaque clé est unique à une plateforme, éliminant ainsi la pratique dangereuse de réutiliser les mêmes informations d’identification sur plusieurs sites.

Google, Apple, Microsoft et d'autres géants de la technologie ont déjà adopté cette alternative dans certains de leurs services. Cependant, cela n'est pas sans susciter des inquiétudes, et des voix critiques se font entendre.

Les risques d'une perte d'accès : une réalité sous-estimée

L'un des points souvent négligés dans les discussions sur les passkeys est ce qui se passe lorsqu'un utilisateur perd accès à son appareil. Si la clé privée, stockée sur le smartphone ou l'ordinateur, est la seule manière d'accéder à ses comptes, la perte ou la casse du terminal devient critique.

Contrairement aux mots de passe, qui peuvent être récupérés via une procédure de réinitialisation, la gestion des passkeys en cas de perte d'accès est beaucoup plus complexe. Sur Reddit, un utilisateur de la communauté cybersecurity, du nom de /u/disastervariation, exprime ses doutes : « si vous perdez votre appareil, comment allez-vous accéder à vos comptes sans cette clé ? ». Ce problème devient particulièrement épineux lorsque les passkeys sont utilisées dans des environnements verrouillés par des plateformes, comme Apple ou Google, qui contrôlent étroitement l'accès à leurs systèmes.

D'autres critiques soulignent que ces clés, bien qu'elles puissent être stockées dans des gestionnaires de mots de passe ou des systèmes basés sur le cloud, ne sont pas infaillibles. Si ces services sont compromis, l'attaquant pourrait potentiellement accéder à toutes vos clés.

La question du verrouillage des plateformes

Un autre problème majeur réside dans la centralisation des passkeys au sein d'écosystèmes fermés. Si vous en créez une avec Apple, par exemple, il est difficile, voire impossible, de la transférer vers un autre appareil d'une autre marque. Ce verrouillage des plateformes pose des questions sérieuses sur la pérennité et la flexibilité de la technologie.

Sur le site Hacker News, un utilisateur du nom de saagarjha souligne ce dilemme : « Le plus gros problème avec les passkeys, c’est que je ne peux tout simplement pas faire confiance aux entreprises qui les proposent. Elles sont enfermées dans la plateforme pour des raisons qui semblent sécuritaires, mais qui ressemblent à du verrouillage de plateforme ». Si vous êtes profondément investi dans l'écosystème Apple et que vous décidez de migrer vers Android ou Windows, le transfert de vos passkeys devient pratiquement impossible.

En revanche, un système traditionnel basé sur un mot de passe et une authentification à deux facteurs (2FA) est beaucoup plus flexible. Les codes d'authentification peuvent être stockés sur une application comme Google Authenticator, Authy, ou envoyés par SMS, offrant une plus grande indépendance des plateformes.

Comparaison avec 2FA : le modèle actuel

Actuellement, la combinaison mot de passe + 2FA est souvent vue comme la solution la plus solide pour sécuriser ses comptes. En associant un mot de passe à un second facteur d'authentification (TOTP via une application ou SMS), on obtient une sécurité renforcée tout en restant indépendant d'un seul appareil.

La 2FA a ses propres avantages. Même si un mot de passe est compromis, l'attaquant doit encore contourner le second facteur, ce qui est souvent plus difficile. Le problème est que cette solution n’est pas à l’abri des failles, notamment des attaques par phishing sophistiquées, mais elle permet un niveau de contrôle plus granulaire.

Les utilisateurs avancés peuvent ainsi utiliser des mots de passe complexes, stockés dans des gestionnaires de mots de passe et associés à des YubiKeys ou des applications OTP, pour se protéger de manière plus active. L'utilisateur de Reddit /u/disastervariation ajoute : « L'un des avantages des mots de passe complexes avec MFA est qu'ils peuvent être manipulés de manière intentionnellement compliquée, rendant les attaques physiques plus difficiles ». Cela pourrait être moins vrai pour les passkeys, notamment dans des scénarios où l'accès à l'appareil est physiquement contraint.

Phishing et usurpation : une protection absolue ?

Les passkeys sont fréquemment vantées comme une solution infaillible contre le phishing. Cependant, plusieurs discussions dans la communauté de la cybersécurité mettent en avant que des méthodes comme l'utilisation d'un gestionnaire de mots de passe bien configuré peuvent également prévenir de nombreuses attaques de phishing.

Par exemple, ce service, bien que performant, ne remplira pas automatiquement vos informations sur un site malveillant, réduisant ainsi le risque d'usurpation. De plus, l'utilisation de l'authentification à deux facteurs avec un TOTP stocké séparément renforce encore cette défense. En revanche, avec une passkey, la sécurité est étroitement liée à l'appareil lui-même. Si cet appareil est compromis ou volé, la protection contre le phishing devient inutile.

Passkeys : une solution imparfaite pour l'instant ?

Les passkeys sont sans conteste un développement majeur dans le domaine de la cybersécurité. Elles représentent une avancée technologique qui pourrait bien remplacer les mots de passe à terme, offrant une sécurité accrue face aux pratiques douteuses de gestion des mots de passe. Cependant, les critiques ne manquent pas : la perte d'accès, le verrouillage des plateformes et la dépendance à l'égard d'un seul appareil sont des préoccupations légitimes.

La comparaison avec la combinaison mot de passe + 2FA montre que, pour l'instant, les passkeys n'offrent pas nécessairement une solution supérieure dans tous les cas. En l'état actuel, elles conviennent surtout aux utilisateurs moins enclins à adopter des pratiques de sécurité strictes, tandis que les utilisateurs plus avancés pourraient encore privilégier des solutions plus contrôlées et flexibles.

Le chemin vers une adoption généralisée des passkeys reste semé d'embûches. Pour que cette technologie devienne une alternative viable, elle devra surmonter les problèmes de verrouillage des écosystèmes et proposer des solutions de récupération d'accès robustes et universelles.

Une réaction ? Laissez un commentaire

Vous avez aimé cet article ? Abonnez-vous à notre Newsletter gratuite pour des articles captivants, du contenu exclusif et les dernières actualités.

Aucun commentaire à «La montée des passkeys : une solution prometteuse, mais à quel prix ?»

Laisser un commentaire

Les Commentaires sont soumis à modération. Seuls les commentaires pertinents et étoffés seront validés. - * Champs requis