Toute le monde connait Hello, le service de Microsoft qui authentifie l’utilisateur pour lui autoriser l’accès à son Windows via la caméra, laquelle fait office d’outil d’identité biométrique. La tendance du moment est effectivement au passwordless pour mieux sécuriser les accès aux différentes plateformes. La filiale de Microsoft, GitHub, a adopté cette approche en lançant en bêta public de l’authentification par passkeys, fini donc les mots de passe et les méthodes d'authentification à deux facteurs. Les passkeys sont généralement plus faciles à utiliser et plus sûrs car on le sait, le mauvais usage des mots de passe (souvent trop simples) est à l’origine de la plupart des fuites de données. Techniquement, les passkeys (ou clés d’accès), qui exploitent les normes de l’Alliance FIDO et du World Wide Web Consortium, génèrent deux clés, une publique et une privée. La clé publique est détenue par le site Web ou l’application depuis lequel ou laquelle l’utilisateur se connecte, quant à la clé privée, elle reste stockée dans une zone protégée de l’appareil. Ainsi, lors de la connexion, le site ou l’application va s’assurer qu’il s’agit bien d’un appareil identifié dans sa base. Si c’est le cas, une demande d’authentification est demandée, celle-ci peut se faire à l’aide de l’empreinte digitale, d’une biométrie faciale comme le fait MS Windows Hello ou Apple Face ID par exemple, ou encore d’un code Pin. Hormis les avancées de Microsoft dans ce domaine, Google et Apple s’engagent à généraliser les passkeys. Après des tests réussis en début d’année 2023, Google le propose comme option par défaut dans les comptes personnels. D’ores et déjà, les utilisateurs peuvent utiliser les passkeys dans des applications telles que YouTube, Search et Maps. D’après Google, ce système est 40 % plus rapide que les mots de passe. Plus récemment, Uber, eBay ou encore WhatsApp ont activé les passkeys donnant aux utilisateurs la possibilité d'abandonner leur mot de passe lorsqu'ils s'identifient sur leurs plateformes. Quant aux entreprises, une fois les freins techniques levés (comme par exemple un stockage universel des clés privées), elles pourraient aussi emboiter le pas, et les bénéfices seront clairement visibles : une meilleure sécurité, moins de shadow IT et donc un support allégé. Reste à convaincre les utilisateurs, c’est d’autant un autre défi de taille.
Commentaire