Comment Apple veut en finir une bonne fois pour toutes avec les mots de passe ?

30 août 2022 à 12h00
5
Apple Passkeys © © Apple
© Apple

Avec iOS 16 et macOS Ventura, le constructeur va introduire son système Passkeys, une nouvelle technologie d’authentification biométrique qui veut en finir avec le bon vieux code alphanumérique.

Évoqué par Apple en 2021, Passkeys sera une réalité dans quelques semaines à la faveur de la sortie de ses prochains systèmes d’exploitation iOS 16, iPadOS 16 et macOS Ventura.

La promesse de la marque californienne est ambitieuse puisqu’elle souhaite ni plus ni moins supprimer les mots de passe de la surface du Web et les remplacer par un système plus sécurisé, alliant à la fois la reconnaissance biométrique et le chiffrement de bout en bout.

Si l’intention d’Apple est d’offrir plus de sécurité à ses utilisateurs, et au-delà, la mise en œuvre de Passkeys soulève toutefois quelques interrogations quant à l’application de ce procédé dans les autres systèmes d’exploitation.

Passkeys, qu’est-ce que c’est ?

Avec Passkeys, Apple veut tout simplement remplacer le mot de passe par une clé de sécurité, créée par votre appareil lors de la création de votre compte utilisateur.

Si la marque semble être à la manœuvre dans sa communication, Passkeys est plus largement l’implémentation, à la sauce Apple, de la norme développée par les membres de l’alliance FIDO, qui comprend des membres prestigieux comme Microsoft ou Google, mais aussi PayPal, Netflix, Samsung ou encore Qualcomm et Visa. Elle se base sur le standard WebAuthn, adopté aujourd’hui par la quasi-intégralité des navigateurs web.

Apple ne fait pas à proprement parler partie de cette alliance, mais est en lien avec ses membres pour améliorer la compatibilité entre les différents systèmes.

À la connexion, une fois votre adresse mail saisie (ou un alias, si vous êtes membre iCloud+ et utilisez la fonctionnalité « Masquer mon e-mail »), iOS 16 ou macOS Ventura vous invitera à enregistrer votre empreinte tactile ou à utiliser le système Face ID pour vous authentifier.

Apple Passkeys macOS Safari © © Apple
© Apple

Une clé de sécurité unique sera alors créée et associée à cet identifiant. Elle se divise en deux entre une clé publique, enregistrée sur un serveur, et une clé privée qui reste stockée sur votre appareil dans l’enclave sécurisée intégrée au processeur. Cette dernière n’est jamais transmise lors de la tentative de connexion.

Les clés de sécurité sont également gérées par le trousseau iCloud, synchronisé entre tous les appareils Apple connectés au même compte iCloud afin de faciliter le passage d’un iPhone à un Mac, puis à un iPad.

Quels avantages offrent les Passkeys par rapport au mot de passe ?

En utilisant Passkeys, les utilisateurs Apple protègent leurs comptes les plus importants par une méthode d’authentification forte qui évite les problèmes liés au phishing, mais également les fuites de mot de passe qu’ont connu tous les services en ligne ces dernières années.

Aujourd’hui, l’une des méthodes les plus sécurisées proposées pour éviter de se faire dérober son compte utilisateur est l’authentification forte, mais cette solution, qui reste pertinente et que nous vous conseillons malgré tout d’activer dès que l’occasion se présente, n’est pas parfaite. Un proche malintentionné ayant accès à votre smartphone peut ainsi récupérer le code envoyé par SMS et accéder à vos données. Passkeys utilise la biométrie et offre une couche de sécurité supplémentaire à vos informations personnelles.

Apple Passkeys © © Apple
© Apple

La solution d’Apple répond également au problème des mots de passe trop simples, facilement exploitables comme les fameux « 1-2-3-4 » ou « azerty », toujours utilisés par un trop grand nombre d’utilisateurs ne souhaitant pas utiliser un gestionnaire de mots de passe ou ne se souciant pas de la sécurité de leurs données. Passkeys offre une mise en place transparente qui permet au propriétaire d’un iPhone de ne pas avoir à retenir (ou pire encore, à écrire sur un papier) un mot de passe complexe pour sécuriser au maximum l’accès à ses comptes en ligne.

Passkeys est enfin une solution bâtie par Apple sur des standards adoptés aujourd’hui par l’ensemble de l’industrie. Si la Pomme est la première à mettre en œuvre à grande échelle ces clés de sécurité, les utilisateurs Android et Windows pourront également profiter d’une protection équivalente dans les prochaines années sur leurs appareils, lorsque Google et Microsoft adopteront également cette technologie.

Les clés de sécurité créées sur un appareil Apple devraient à l’avenir être utilisables sur n’importe quel appareil, peu importe leur système d’exploitation.

Passkeys : des limitations et de nombreuses questions

Si on ne peut que saluer l’initiative d’Apple de se débarrasser au plus vite des mots de passe, l’implémentation des Passkeys ne sera pas des plus simples.

Pour l’heure, ces derniers ne seront disponibles que sur les plateformes Apple et l’on peut imaginer qu’au départ seule la connexion aux services Apple pourrait être concernée par cette forte authentification.

Les sites web et applications doivent en effet s’adapter à ce nouveau système d’identification et si l’on peut parier d’emblée que quelques partenaires d’Apple seront prêts dès le jour J, les autres devront mettre à jour leur infrastructure, ce qui pourrait prendre au mieux plusieurs mois. Apple n’a pas fait mystère lors de sa présentation que le chemin vers « un monde sans mot de passe » sera un long voyage qui prendra plusieurs années avant d'être achevé.

Se pose également la question de la compatibilité. Apple a développé Passkeys pour son propre écosystème et n’a évoqué que très brièvement le cas d’une connexion avec d’autres appareils. Le seul exemple présenté est celui de la connexion à un service en ligne via un PC Windows. Un QR Code est affiché à l’écran et doit être scanné depuis son iPhone pour utiliser la reconnaissance biométrique. On imagine que la procédure sera la même sur un téléphone Android.

Apple Passkeys Windows © © Apple
© Apple

Il est également possible de synchroniser son trousseau iCloud sur Windows, ce qui pourrait faciliter la connexion pour les possesseurs de PC, mais la solution fait figure aujourd’hui de rustine, en attendant une implémentation plus profonde de cette technologie.

Pour le moment, Apple ne travaille que pour son propre jardin fermé et ne s’adresse qu’à ses fidèles utilisateurs. Il faudra attendre que Microsoft et Google proposent leur propre implémentation des standards développés par l’alliance FIDO pour multiplier les passerelles entre les différents systèmes d’exploitation.

On pense notamment à la possibilité de créer une clé de sécurité sur un appareil, ensuite utilisable sur l’ensemble des plateformes, ce qui rendrait la technologie plus accessible aux utilisateurs. À l’inverse, créer une clé de sécurité différente par système d’exploitation serait un vrai frein à l’adoption auprès du grand public.

Apple fait le premier pas vers un monde sans mot de passe

Avec Passkeys, Apple lance une première expérimentation à grande échelle qui devrait être scrutée de près par ses concurrents mais néanmoins partenaires.

Si son utilisation restera limitée dans les prochaines semaines, elle pourrait faire la démonstration de la viabilité du système et pourrait marquer la première étape vers un monde sans mot de passe et plus sécurisé pour les milliards d’utilisateurs connectés au Web.

Espérons toutefois qu’Apple tienne ses promesses et mette à profit son expérience acquise au cours des prochaines semaines auprès de ses partenaires, et ne cherche pas à trop tirer la couverture à elle en vantant son statut de « chevalier blanc » de la confidentialité. Le sujet de la protection des données personnelles est trop important aujourd’hui pour le sacrifier sur l’autel du marketing et de la communication.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
5
sandalfo
ceci est une révolution
mrassol
je ne sais pas si c’est du troll ou pas, mais j’aimerai bien savoir s’il existe une solution similaire multiplateforme
gzOmax
Suffis de regarder le passwordless chez Microsoft… Même principe, rien de nouveau.<br /> Le multiplateforme serait un gros plus.
mrassol
ca n’est compatible qu’avec les produits microsoft ? je peux rendre mon compte amazon passwordless avec ca ?
userresu
« problème des mots de passe trop simples, facilement exploitables comme les fameux « 1-2-3-4 » ou « azerty », toujours utilisés par un trop grand nombre d’utilisateurs ne souhaitant pas utiliser un gestionnaire de mots de passe ou ne se souciant pas de la sécurité de leurs données »<br /> La vraie raison c’est qu’il n’arrivent pas à retenir des mots de passe trop complexe ; rien qu’à voir ce qui se passe en entreprise avec les personnes qui reviennent après les congés ; 8 demandes sur 10 lors des jours de reprise concernent des mots de passe oubliés
Voir tous les messages sur le forum

Derniers articles

Saliout 5 : quand les stations avaient encore beaucoup à nous apprendre
Faut-il réellement installer un antivirus sur vos appareils ?
RFID : quels sont les dangers et comment s'en protéger ?
We choose to go to the Moon… Le discours qui engagea la course à la Lune
Les lancements de fusées orbitales portées par avion, un délicat compromis
O’clock, une école de développement web pas comme les autres
Iridium, le rêve avant l'heure de la communication globale
Rentrée 2022 : notre sélection pour équiper les étudiants, les télétravailleurs et tous les autres
Les meilleures applications mobiles pour une rentrée 2022 réussie !
8 mythes et réalités sur l'impact écologique de Bitcoin
Haut de page