La tendance est au passwordless pour mieux sécuriser les accès aux différentes plateformes. La filiale de Microsoft, GitHub, vient d’épouser cette approche en lançant en beta publique de l’authentification par passkeys à la place des mots de passe. « En choisissant cette option, les développeurs peuvent utiliser les passkeys à la place de leurs mots de passe et des méthodes d'authentification 2FA », a indiqué la plateforme. En mai, Github avait mis en place de nouvelles mesures d'authentification 2FA pour tous les contributeurs. L’option des passkeys est la dernière étape vers la bascule dans le passwordless. Considérés comme l'alternative moderne aux mots de passe, les passkeys sont généralement plus sûrs et plus faciles à utiliser.

Les sociétés IT et les entreprises les adoptent de plus en plus souvent pour renforcer la sécurité de leurs systèmes d’authentifications et s’affranchir de la contrainte des mots de passe, dont le mauvais usage est à l’origine de la plupart des fuites de données. Depuis le mois de mai, le support des passkeys pour les comptes Google est progressivement déployé sur toutes les grandes plateformes. L'année dernière, plusieurs géants de la technologie ont annoncé leur soutien à un standard commun de connexion sans mot de passe créée par l'Alliance FIDO et le World Wide Web Consortium.

Les mots de passe, première cause de violations des données

« La plupart des failles de sécurité ne résultent pas d'attaques de type ‘zero-day’, mais plutôt d'attaques peu coûteuses basées sur l'ingénierie sociale, le vol d’identifiants ou des fuites qui offrent aux attaquants de diverses modalités d'accès aux comptes des victimes et aux ressources auxquelles elles ont accès », a écrit Hirsch Singhal, responsable produit chez GitHub, dans un blog. « En fait, les mots de passe, sur lesquels nous comptons tous, sont à l'origine de plus de 80 % des violations de données », a-t-il ajouté.

Les passkeys utilisent des clés de sécurité traditionnelles, mais leur configuration est plus facile et leur capacité de récupération bien meilleure. Au final, c’est une méthode sécurisée, privée et facile à utiliser pour protéger ses comptes tout en minimisant le risque de verrouillage », a-t-il ajouté. « Le plus intéressant, c'est que les passkeys nous rapprochent du passwordless, et contribuent à supprimer totalement les violations qui exploitent les faiblesses des identifiants », a encore déclaré Hirsch Singhal. « Sur GitHub, les passkeys nécessitent une vérification de l'utilisateur, ce qui signifie qu'ils concentrent deux facteurs d’authentification en un », écrit-il, une composante propre à l’utilisateur (une empreinte digitale, un visage ou un code PIN) et une composante physique (une clé de sécurité physique ou l’appareil) lui-même. « Les passkeys peuvent être utilisées sur tous les appareils en vérifiant la présence d'un téléphone, et certaines peuvent également être synchronisées entre les appareils pour s'assurer que les utilisateurs ne sont jamais privés de leur compte en cas de perte de la clé », a ajouté Hirsch Singhal.

La protection des comptes des développeurs, élément crucial de la supply chain

« Les comptes des développeurs sont des cibles fréquentes de l'ingénierie sociale et de la prise de contrôle des comptes (Account Take Over, ATO), et la protection des développeurs contre ces attaques est la première et la plus importante étape vers la sécurisation de la chaîne d'approvisionnement », a aussi expliqué M. Singhal. « Les passkeys offrent la meilleure combinaison de sécurité et de fiabilité et rendent les comptes des développeurs nettement plus sûrs sans compromettre l'accès, ce qui reste un problème avec d'autres méthodes 2FA comme le SMS, les mots de passe à usage unique basés sur le temps (Time based One Time Password, TOTP), et les clés de sécurité existantes pour un seul appareil », a-t-il ajouté. « En s’affranchissant des mots de passe, la sécurité renforcée des passkeys empêche le vol de mot de passe et l'ATO ».