Pas facile de se passer des mots de passe. Et pourtant depuis quelques mois, plusieurs acteurs IT (Google, Ebay, Microsoft,…) poussent à l’adoption de la technologie des passkeys comme alternative aux mots de passe. Ces clés d’accès peuvent être une empreinte digitale, un scan du visage ou un code PIN pour s’authentifier. Leur adoption est encore balbutiante mais elle progresse selon un rapport de Dashlane, éditeur d’un gestionnaire de mots de passe. Les passkeys proposés par le fournisseur sont passées à 200 000 par mois, ce qui représente une augmentation de plus de 400 % depuis le début de l'année.

Les sites et les acteurs IT s’y mettent

Il ajouté la prise en charge des passkeys à son produit il y a deux ans. Parmi les principaux sites ayant favorisé l'adoption de la technologie au cours de la période qui va d'avril à la fin juin de cette année, Amazon est arrivé en tête avec une croissance de 88,9 % par rapport au trimestre précédent. Parmi les autres sites figurant sur la liste, on peut citer Target (70,5 % de croissance), Github (33,5 %), PingOne (31,7 %) et Google (28,6 %). Parmi les autres développements récents, AWS a annoncé en juin qu’il avait ajouté la prise en charge des passkeys FIDO2, une méthode d'authentification conforme au framework Fast Identity Online (FIDO), pour l'authentification multifactorielle et qu'il rendrait bientôt le MFA obligatoire pour la connexion aux comptes AWS.

En mai dernier, Google a commencé à déployer la prise en charge des passkeys dans les comptes Google sur toutes les grandes plateformes. Le fournisseur a ajouté une option de connexion qui peut être utilisée en plus des mots de passe et de la vérification en deux étapes. « De nombreuses PME se tournent vers des fournisseurs de coffre-fort d’identifiants comme Dashlane qui prennent en charge la synchronisation des passkeys FIDO2 et peuvent être limités aux connexions SSO », a déclaré Carlos Rivera, directeur conseil principal chez Info-Tech Research Group, dans un courriel. « Avec la publication du supplément NIST SP 800-63B sur les authentificateurs synchronisables, il y a un intérêt considérable de la part des entreprises pour une MFA résistante au phishing qui les affranchit de la gestion des jetons matériels ou des points d'extrémité Windows Hello, véritable barrière à l'adoption », a-t-il ajouté.

Des interrogations persistantes sur l’usage et la sécurité

David Shipley, CEO de Beauceron Security, une entreprise basée à Fredericton, Nouveau-Brunswick, estime cependant que cette méthode a aussi des inconvénients. « Les passkeys concilient commodité et sécurité, mais il s’agit toujours de mots de passe, même s’ils sont uniquement connus des terminaux et des services. En cas de perte de l'accès physique à un équipement, ou à des choses comme une YubiKey, les entreprises se retrouvent face à de nombreux défis informatiques ». C'est, selon lui, le plus grand inconvénient, car il implique « des compromis entre la commodité et la sécurité », en particulier quand la main-d'œuvre est distante ou éparpillée. « L'un des plus grands défis de l'affaire CrowdStrike a été de savoir comment restaurer tous ces terminaux sur des sites distants alors qu’un clavier était potentiellement nécessaire ». Selon David Shipley, les passkeys sont très bien pour stocker les identifiants de grande valeur, par exemple ceux des administrateurs IT et d'autres personnes relativement averties et compétentes. « On voudra toujours des stratégies de résilience liées au risque de réutilisation ou de capture des mots de passe par des logiciels malveillants. Mais on veut aussi une stratégie de résilience pour les pannes matérielles, les pannes d'appareils, ce genre de choses ».

Celui-ci ajoute que le principe même des passkeys « fait trop de promesses sur certains aspects de la sécurité » souligne le consultant. Il apparaît qu’ils sont vulnérables à des attaques de type « adversary in the middle », selon les travaux d’eSentire. Jay Bretzmann, analyste d’IDC spécialisé dans la gestion des identités et des accès se veut philosophe, « les passkeys sont clairement plus sûrs que les mots de passe, mais ce n’est pas pour autant qu’ils sont à toute épreuve. Et de donner un conseil, « il faut absolument la mettre en place pour toutes les plates-formes et applications qui les supportent. Elle offre deux avantages par rapport aux mots de passe : d’abord, les paires de clés sont toujours uniques pour les sites web et les applications ; ensuite, un humain n'a pas à les générer ni à s'en souvenir ».