Pour se connecter à une application ou un site Web aujourd’hui, il faut créer un compte qui se constitue généralement d’un identifiant et d’un mot de passe. Certains systèmes de connexion permettent d’utiliser le compte d’une autre plateforme (Google, Facebook, Apple) pour se connecter plus facilement, mais ce compte-là reprend tout de même toujours cet iconique duo login/mot de passe… Mais jusqu’à quand ?
Apple veut faire disparaître les mots de passe
À l’occasion de la WWDC, lors d’une session intitulée Move beyond passwords (« Aller au-delà des mots de passe« ), Apple a présenté une nouvelle solution visant à faire disparaître les mots de passe. Depuis plusieurs années déjà, il est possible d’utiliser la biométrie de son smartphone pour s’identifier plus facilement sur certaines applications et Safari l’intègre également depuis l’année dernière sur iOS et macOS. Désormais, Apple veut aller plus loin en permettant de créer un compte directement avec de la biométrie plutôt qu’un mot de passe.
Dans le courant de l’année, il deviendra donc possible, sur les sites et applications qui adoptent Passkeys, de créer un compte sans jamais indiquer le moindre mot de passe, mais en utilisant plutôt les systèmes d’identification biométrique d’iOS, iPadOS et macOS (Touch ID et Face ID). La technologie en question s’intègre au porte-clés iCloud (donc chiffré de bout en bout), comme un mot de passe traditionnel, et se base sur le protocole WebAuthn, développé par la FIDO Alliance (Fast IDentity Online), un regroupement de sociétés (dont Apple) qui cherchent à améliorer la sécurité sur le Web et à réduire le risque de hacks sur le Web, notamment en faisant justement disparaître les mots de passe.
Pourquoi faire disparaître le mot de passe ?
Un mot de passe reste l’élément le plus recherché par les pirates informatiques. Une fois obtenu, il donne accès à un grand nombre d’informations et, de fil en aiguille, permet parfois d’accéder à d’autres comptes. C’est pour cela que les campagnes de phishing sont aussi nombreuses pour tenter de vous soutirer votre mot de passe. Et parfois, même un très bon gestionnaire de mots de passe ne suffit pas, puisque le mot de passe reste partagé avec le serveur du service auquel vous tentez de vous connecter, et peut donc être intercepté en cas de faille.
En preview seulement
Passkeys arrive pour le moment uniquement en preview sur iOS 15 et macOS Monterey et nécessite d’activer une fonctionnalité avancée des deux systèmes pour en profiter. Il faudra donc encore un peu de temps avant de pouvoir se passer totalement de mot de passe, même si la technologie sera disponible dès cette année sur certains appareils.
Par ailleurs, si vous utilisez une plateforme concurrente (Android ou Windows notamment), il vous faudra garder un iPhone ou un Mac à portée de main pour vous connecter aux services sur lesquels vous vous êtes inscrits à l’aide de Passkeys.
Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
Même pas, il suffirait que tu saignes du nez pour avoir un leak de tes clés de sécurité 😁
Ah ben c'est sûr que si on pouvait avoir directement les clés de chiffrement dans notre sang ce serait plus pratique… ca arrivera un jour!
Merci pour les détails, effectivement ça paraît plus clair. Je connaissais Connect with Apple, mais chez Google non plus t'es pas toujours obligé de laisser ton email au destinataire (même si des fois il faut le désactiver à la main). En tout cas intéressant que l'identification passe sur des systèmes plus décentralisés et normés. Par contre quand on va se retrouver sans ses appareils, ça va être la croix et la bannière pour consulter quoi que ce soit en empruntant un équipement... Même si le but est qu'on ai toujours une forme quelconque de device sur soi (smartphone, montre, clé USB ou... vaccin 5G 😂).
La solution Apple n'est pas du SSO et n'utilise pas de token.
La technologie Webauthen utilisée par Apple ne passe pas forcément par les serveurs Apple.
Non, ce n'est pas du tout du SSO. Avec SSO, le site internet interroge Apple ou Google pour valider l'authentification. Avec la méthode qu'Apple pousse, le site reçoit la clé publique de l'utilisateur et l'utilise pour créer un compte et ensuite authentifier l'utilisateur avec la norme Webauthen. Les clés Webauthen peuvent être partagées entre services, donc commencer sur iOS n'empêche pas de continuer sur Android si les clés y ont été transférées, ou même de se connecter grace à un dongle sécurisé (PAS un token). D'ailleurs tu ne sais probablement pas que Connect With Apple permet de se connecter sur plein de sites sans avoir à partager sa vrai adresse et son vrai nom, mais passons, Apple veut aller outre Connect With Apple dans la sécurité.
Ha oui oui je suis bien d'accord que ça n'a rien d'une révolution.
On est d'accord, mais la solution d'Apple ne change en soit pas grand chose à l'affaire. T'as ton SSO qui utilise un token sur tes devices pour t'identifier auprès du service, puis t'as un mot de passe si tu dois accéder à ton trousseau iCloud depuis un autre device pour récupérer les tokens. C'est donc bien exactement comme les boutons de Google ou Facebook : tu n'as pas de mot de passe sur le service. Le contrôle d'identité est fourni par l'intermédiaire, qui peut être plus stricte sur les contrôles (2FA, device vérifié, biométrie, tiers de confiance...) et qui décharge le service pour lui éviter d'avoir à le faire, ce qui est long et pénible pour l'utilisateur (et coûteux pour le service, comme les SMS). C'est pas une critique en soit, mais un constat qu'Apple ne semble pas vraiment révolutionner le domaine, sauf à fluidifier le parcours. Encore que les concurrents ont aussi mis les bouchées doubles sur le sujet, j'ai vu plusieurs fois un gros message qui valorise la connexion rapide via le compte Google.
Dans le cas de SSO (Twitter ou Apple), tu perds clairement ton accès si tu perds l'accès au compte qui est utilisé pour le SSO. Enfin, techniquement parlant, ça doit être possible de recoller les morceaux, mais rares sont les sites qui offrent cette possibilité.
Ben en gros c'est juste eux qui gèrent le SSO, mais typiquement sur Disqus pour pouvoir commenter ici, si je me connecte via Twitter je ne donne aucun mot de passe au service. Alors oui Twitter lui a un mot de passe (+2FA), mais y'a un moment où faut aussi un moyen de récupérer un accès quand on a plus rien non ?
Microsoft essaye depuis plusieurs année avec Windows Hello, mais c'est compliqué... Je leur souhaite bonne chance pour bouleverser à ce point le marché pour que le titre de cet article se réalise !
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix