Plus de mots de passe ? Les “clés de passage” sont expliquées en trois questions

Fini les mots de passe écrits sur un bout de papier ? Apple, Microsoft et Google ont l’intention de les remplacer par des “passkeys” (qui peuvent être traduits par “access keys”), un système qui a été construit il y a des années.

Les iPhones ouvriront aux clés d’accès le lundi 12 septembre, avec la sortie du nouveau noyau iOS 16, et les ordinateurs Apple suivront en octobre, avec l’arrivée du noyau Mac OS Ventura. Windows, de son côté, est déjà prêt à échanger des « passkeys » avec iOS, tandis que son éditeur Microsoft affiche son intention d’ajouter prochainement tous les add-ons passkey. Quant à Google, l’entreprise veut Autoriser les développeurs à utiliser Cette technologie est sur Android d’ici fin 2022. L’enjeu est de taille pour les utilisateurs, puisque les programmes de ces trois sociétés équipent la grande majorité des ordinateurs et smartphones en circulation.

Les faiblesses des mots de passe sont désormais connues : de nombreux utilisateurs choisissent des mots de passe très simples gérés par des logiciels spécialisés pour les deviner, utilisent les mêmes mots-clés pour de nombreux services, ou les donnent par inadvertance à des pirates en tombant dans le piège des campagnes de phishing. Les clés d’accès, qui seront souvent fournies à chacun à la place du mot de passe traditionnel lors de la création d’un compte sur un site ou une application, devraient résoudre ces problèmes. explications.

Lire aussi : Mot de passe, espèces menacées

Comment fonctionnent les clés d’accès ?

Avec les clés d’accès, pour vous inscrire à un service, une application ou un site Internet (marchand par exemple), vous devez utiliser votre propre appareil : un smartphone, un ordinateur ou une tablette. Au moment de l’inscription, le smartphone génère alors deux clés cryptées, uniques et affectées à chaque service. D’une part, la clé privée, qui reste sur le smartphone, et d’autre part, la clé publique, qui est conservée par le site ou l’application en question.

Le service posera une sorte de puzzle sur le smartphone, un “challenge”

Ensuite, à chaque tentative de connexion, le service posera une sorte de casse-tête sur le smartphone, un “challenge” qui ne pourra être résolu que grâce à sa propre clé. Une fois ce “challenge” résolu, pour mettre fin à la connexion, l’utilisateur doit alors marquer son consentement et prouver qu’il est bien le propriétaire du smartphone, par exemple en posant son doigt sur le lecteur d’empreintes digitales, en présentant son visage, en tapant un code PIN ou dessiner une image sur l’écran.

Une fois le compte configuré, la clé privée Rejoindre le trousseau comprenant tous les mots de passe générés pour chaque service utilisé, retrouvé dans le smartphone, c’est l’une des grandes nouveautés, dans le stockage en ligne : Google Drive, iCloud d’Apple, OneDrive de Microsoft, selon le logiciel qui alimente un appareil. Ainsi, les clés d’accès seront disponibles pour tous les appareils partageant le même écosystème, par exemple les utilisateurs d’iPhone, d’iPad et de Macbook. Ils seront placés dans un espace crypté sur Internet que personne d’autre que l’utilisateur ne pourra ouvrir.

Les clés d’accès peuvent-elles être partagées entre Google, Microsoft et Apple ?

oui. Les clés d’accès peuvent voyager à travers les écosystèmes, mais, malheureusement, elles ne sont pas automatiquement synchronisées entre le cloud d’Apple, Microsoft et Google. Vous devez tous les déplacer manuellement.

Considérez le scénario d’une personne qui s’inscrit à un nouveau service sur son iPhone, qui stocke désormais le mot de passe correspondant. Cette personne ne peut pas se connecter au même service sur son PC Windows, car elle n’appartient pas au même écosystème : elle ne peut pas recevoir ce mot de passe via iCloud. De plus, il ne peut pas non plus se connecter à ce service depuis le Macbook de son proche, même s’il appartient au même écosystème, puisque cet ordinateur est connecté à un autre iCloud que le sien.

L’utilisateur peut scanner ce code QR avec son smartphone, où le mot de passe est stocké

Cependant, en ouvrant le site Internet du service sur l’un de ces ordinateurs, l’utilisateur se voit proposer d’afficher un code QR, qui constitue une sorte de demande de connexion. Il peut ensuite scanner ce code QR avec son smartphone, où le mot de passe est stocké. Ce smartphone vérifie automatiquement si votre ordinateur se trouve à proximité, via une connexion Bluetooth sans fil, pour s’assurer que la demande ne provient pas d’un intrus distant. Il ne reste plus qu’à l’individu d’accepter de s’authentifier, comme dans la procédure décrite précédemment, par exemple en posant son doigt sur le lecteur d’empreintes digitales.

Le scénario avec le code QR sera similaire chaque fois qu’un utilisateur devra se connecter à deux écosystèmes différents, par exemple un PC Windows avec un téléphone Android, ou un téléphone Android avec un ordinateur Mac.

Par commodité, à l’issue de cette procédure, de nombreux services proposent de créer un nouveau passe-partout pour un ordinateur qui n’en possède pas, afin d’éviter de répéter cette procédure fastidieuse à chaque nouvelle connexion. appelle le le scientifiqueGoogle et Microsoft confirment également travailler pour ouvrir la gestion des clés d’accès aux acteurs tiers, comme les éditeurs de gestionnaires de mots de passe, comme LastPass ou Dashlane, par exemple. Ces clés de sécurité peuvent être stockées dans leur propre cloud et facilement accessibles sous différents écosystèmes.

Que se passe-t-il si mon smartphone est perdu, cassé ou volé ?

Contrairement aux mots de passe, les clés d’accès ne peuvent pas être écrites sur un morceau de papier, conservées dans un coin de votre tête ou regroupées dans un gestionnaire de mots de passe. Ils sont enfermés dans la mémoire cryptée du smartphone, ce qui est une incitation supplémentaire à garder cet appareil avec vous à tout moment.

Seule solution : demander de nouveaux passe-partout à des dizaines de services clients (…). course d’obstacle

Cela peut être gênant, par exemple lorsque vous souhaitez remplacer un smartphone Apple par un modèle Android (ou inversement). Il faut attendre avant de revendre l’ancien smartphone pour pouvoir recopier manuellement ses clés d’accès dans le nouveau, une par une, ce qui s’annonce compliqué et laborieux. L’inconvénient peut être encore plus grand si le smartphone est volé ou cassé : si vous n’avez pas d’autre appareil appartenant au même écosystème que l’appareil perdu, vous ne pourrez pas récupérer les clés stockées dans le cloud. La seule solution : demander de nouveaux mots de passe à des dizaines de services clients, et prouver votre identité à chaque fois. course d’obstacle.

Les choses seraient plus faciles si vous pouviez copier l’ensemble des clés d’accès d’un écosystème à un autre. “C’est une discussion très active en ce moment”, Hommage à Andrew Shekiar, directeur exécutif de l’Alliance FIDO, qui coordonne cette technologie. Mais pour y parvenir, il va falloir trouver un moyen sécurisé de le faire, explique Arnaud Jumelet, expert sécurité chez Microsoft France :

Un des mécanismesune cléLa sécurité des clés d’accès est que l’utilisateur donne son consentement à chaque transfert, une clé par une clé. Nous voulons empêcher le virus d’absorber tous les mots de passe à la fois, et il ne serait pas facile de trouver une technologie qui garantisse cela, tout en permettant la migration d’un trousseau entier. »

Enfin, certains services continueront cependant à collecter nos emails et numéros de téléphone, notamment pour pouvoir nous identifier si nous perdons nos clés d’accès. Selon Srinivasan Sampath, qui dirige plusieurs projets de sécurité informatique chez Google, de nombreux services continueront d’utiliser des mots de passe dans les années à venir. “Mais plus les utilisateurs utiliseront leur passe en priorité pour s’identifier, plus les mots de passe seront réservés à des cas rares, ce qui attire systématiquement l’attention des administrateurs du service.” Ils pourront consacrer toute leur attention à ces cas particuliers.

Leave a Reply

Your email address will not be published.

Previous post Recherchez et achetez votre appartement ou votre maison en ligne !
Next post Des milliers de vies de “Mudge”, lanceurs d’alerte sur Twitter