Informatique et Internet : faut-il désormais utiliser les passkeys ?

Clé d’accès en français ou encore clé de sécurité, le « passkey » constitue un nouveau procédé permettant de se connecter généralement à un compte en ligne. Il en est de même pour la sécurisation des connexions sans fil comme le Bluetooth ou sur des appareils mobiles, etc. Cet élément d’identification a pour objectif d’être plus sécurisé et simple d’utilisation.

Aujourd’hui, il est nécessaire d’insérer à chaque fois un mot de passe pour accéder à une application ou à un site Web. L’utilisateur s’expose pourtant à une fuite de données dans ce cas. Il risque par exemple de se faire pirater en donnant ce code par inadvertance durant une attaque de phishing. Et c’est l’une des raisons pour lesquelles le passkey se veut être une solution intéressante à l’avenir.

Sa différence par rapport aux mots de passe

Un mot de passe se définit comme un ensemble de caractères, notamment de lettres, de chiffres et de symboles. Le passkey se traduit en revanche en un code numérique permettant à deux appareils de se connecter et de communiquer de manière sécurisée entre eux. Autrement dit, les utilisateurs s’authentifient de la même manière qu’ils déverrouillent leurs téléphones et tablettes, soit par FaceID, empreinte digitale, code pin ou schéma.

D’une façon concrète, il leur faut le faire via des appareils dont ils sont propriétaires. Passkey crée alors deux clés cryptées spécifiques à chaque site ou application. Stockée dans une base de données de service, l’une sera publique. Intégrée dans leur appareil, l’autre sera privée. L’accès à l’espace se fera ensuite après l’authentification effective, soit un échange entre les deux. C'est pourquoi il n’y a aucun code à mémoriser, soit de mot de passe partagé à la mauvaise personne.

Les atouts du passkey par rapport au mot de passe

Beaucoup d’utilisateurs se demandent certainement en quoi les passkeys sont-ils plus sécurisés que les mots de passe. C’est notamment pour les raisons suivantes.

L’absence de facteur mémoriel

Évidemment, il est inutile de les mémoriser. Ces codes d’identification, tout particulièrement les clés privées, se trouvent exclusivement sur les appareils appartenant à un seul et même individu. Il est en outre possible de les synchroniser d’un appareil à l’autre. Les terminaux se traduisent alors par des sortes de gestionnaires de mots de passe, puisqu’ils mémorisent tout.

La robustesse en soi des passkeys

Ces clés d’accès ne ressemblent pas du tout aux mots de passe traditionnels, composées au moins de 8 caractères ou d’autres critères. Chacune d’elles est suffisamment longue et solide. Il est donc difficile de la deviner. Uniques, elles ne sont pas non plus spécifiques au contexte ni dotées de caractères séquentiels et répétitifs. Autrement dit, elles ont été conçues pour éviter les violations de données et les prises de contrôle de comptes.

L’absence de fuites de données

Les clés privées liées aux passkeys ne sont pas du tout hébergées dans les serveurs. Ils ont seulement accès aux clés publiques. Personne ne peut faire usage de l’un pour ensuite retrouver l’autre. C’est pourquoi elles constituent des données moins intéressantes pour les pirates. Pour disposer des clés privées, il serait nécessaire de prendre pour cible l’appareil de chaque internaute. Ce qui sera alors pratiquement impossible, la tâche étant difficile pour une action à grande échelle.

Le blocage des risques de phishing

En raison de l’absence de mots de passe, il n’est plus question d’hameçonnage lorsqu’on parle de passkeys. Dans le cas présent, les codes d’accès sont intrinsèquement liés au site ou à l’application pour lequel ils ont été conçus. Bien qu’une application frauduleuse ou une plateforme piégée imite à la perfection l’app ou le service légitime, le système constatera forcément un souci avec le domaine. Il va alors noter l’absence de clé publique, dont le site légitime est le seul à la posséder.

Si le passkey n’en est qu’à ses débuts, son efficacité et sa facilité d’utilisation pourraient en faire une option courante d’ici quelque temps. D’ailleurs, il faut savoir que le géant du numérique, Google, vient de récemment permettre l’utilisation des passkeys pour tous ses applications et services.