Le mot de passe a toujours été une sécurité efficace sur internet, mais cela reste une méthode archaïque et peu ergonomique par rapport à certains systèmes de sécurité actuels. Apple l’a bien compris et a profité de la WWDC 2022 pour annoncer sa nouvelle fonctionnalité, ayant pour but de rendre les mots de passe obsolètes : Apple Passkeys.
Qu’est-ce que Apple Passkeys ?
L’intérêt de Apple Passkeys est d’augmenter la sécurité de vos comptes, tout en simplifiant l’accès à ces derniers. Le principe est de créer des clés numériques uniques grâce à vos données biométriques, afin de pouvoir créer un compte ou vous connecter sur un site simplement avec Touch ID (empreinte digitale) ou Face ID (reconnaissance faciale).
Les Apple Passkeys sont-ils sécurisés ?
Bien qu’on pourrait penser aux premiers abords qu’il s’agit d’un simple gestionnaire de mots de passe sous un autre nom, ce n’est pas le cas (bien que cela soit basé sur ce système).
Lors de chaque création de compte, au lieu d’inscrire un mot de passe et de le répertorier dans un gestionnaire, Apple Passkeys va simplement vous demander d’utiliser Touch ID ou Face ID, afin de créer une clé numérique unique (en se basant sur l’API WebAuthn) et c’est tout. Votre visage ou votre empreinte suffiront par la suite pour vous connecter n’importe où.
Pour maximiser la sécurité, Apple déclare que vos « passkeys » ne quitteront pas les appareils de la marque. Ils ne seront pas stockés sur des serveurs web, étant enregistrés localement sur vos machines. Les clés seront tout de même synchronisées entre vos applications et vos appareils Apple via iCloud Keychain, afin de simplifier le partage et rajouter une couche de sécurité en plus.
Cette fonctionnalité dans le cloud est d’ailleurs essentielle dans le cas où vous perdez l’appareil comprenant vos passkeys. Il suffit juste de se connecter à un appareil avec les identifiants Apple ID. Apple insiste sur le fait que la firme n’est pas capable de lire les données comprises dedans, même dans un procédé de récupération.
Tout ce procédé est totalement chiffré, entre l’API Web Authentication qui utilise un système de clé public / privé ou iCloud Keychain qui est aussi protégé contre les attaques par force brute.
Grâce à toutes ces méthodes, Apple affirme que des pirates ne peuvent donc pas accéder à vos codes d’accès en vous forçant à les divulguer ou en les volant de quelconque manière. Cela réduit ainsi énormément les chances de se faire avoir par un phishing (ou hameçonnage).
Mais le risque zéro n’existe pas, et on peut donc légitimement avoir des doutes sur la sûreté des données biométriques. Car tandis qu’on peut changer un mot de passe ou un passkey à volonté en cas de problème, ce n’est pas le cas pour nos empreintes digitales, la forme de notre visage ou encore l’aspect de nos yeux.
Malgré ça, sans être en contact direct avec l’appareil à pirater et avoir des outils très précis pour imiter les données biométriques, il est quasiment impossible de se faire pirater là-dessus.
https://twitter.com/rmondello/status/1534311321201672194
Une démocratisation à venir ?
Apple profite de sa réputation en termes de sécurité informatique pour se présenter comme parfait étendard de ce genre de système.
Apple Passkeys est avant tout prévu pour le navigateur Safari, présent par défaut sur tous les appareils de la marque. Sur Mac, iPad et iPhone, il sera possible de se connecter directement grâce à Touch ID ou Face ID.
Mais pour ce qui est d’Apple TV et des appareils non-Apple, il sera quand même possible d’utiliser la fonctionnalité tant que vous avez un appareil portable de la marque (iPhone ou iPad). Ainsi, vous pourrez scanner un QR code sur le site où vous souhaitez vous connecter, afin de pouvoir utiliser Touch ID ou Face ID.
Le service est prévu d’être déployé à l’automne 2022, avec une bêta pendant l’été. Mais des systèmes équivalents pourraient aussi arriver très rapidement sur plein d’autres appareils. En effet, Google et Microsoft avaient annoncé en mai dernier qu’ils s’associaient avec Apple afin de travailler sur un système d’authentification sans mots de passe. Le but serait de se conformer à la nouvelle norme dans le domaine, étable par l’Alliance FIDO et le World Wide Web Consortium.
Les utilisateurs sont encore loin d’être prêt à lâcher complètement les mots de passe, mais tout cela pourrait représenter le début d’une nouvelle ère pour la sécurité en ligne.