De nombreuses entreprises adoptent les passkeys, une alternative aux mots de passe qui a fait couler beaucoup d’encre, mais qui ne semble pas encore bien établie. Comment cela se fait-il ?
Les passe-partout devraient être parfaits pour se connecter à des comptes de manière sûre et fiable. Les Passkeys deviendraient obsolètes en un rien de temps. Pourtant, après presque deux ans de disponibilité à grande échelle, la pratique s’avère plus complexe que prévu.
La promesse des passkeys
Les Passkeys offrent une alternative sécurisée aux mots de passe traditionnels en utilisant des clés cryptographiques uniques. Ces clés sont stockées localement sur un appareil et sont liées à des données biométriques telles que l’empreinte digitale ou la reconnaissance faciale. En théorie, les passkeys offrent une sécurité inégalée contre le phishing et d’autres piratages.
Les avantages sont évidents : plus besoin de se souvenir des mots de passe, pas de possibilité d’utiliser le même mot de passe partout, pas de risque de vol des mots de passe, et une connexion facile grâce à la biométrie ou à un code PIN. Pourtant, dans la pratique, les passkeys sont moins conviviaux que prévu.
Encore trop complexe
Les Passkeys sont désormais pris en charge sur des centaines de sites web et de plateformes, y compris sur vos comptes Google et Microsoft, mais leur mise en œuvre reste confuse. La procédure varie selon le système d’exploitation, le navigateur et même l’appareil. Par exemple, la connexion à PayPal à l’aide d’un passkey ne fonctionne pas de la même manière sur Windows et sur iOS, et Firefox n’est pas du tout pris en charge par PayPal. Ce manque d’uniformité nuit à la fluidité de l’expérience utilisateur.
Un autre exemple est l’utilisation de passkeys sur LinkedIn. Si vous créez un passkey via Firefox sur macOS, LinkedIn indique qu’il est lié spécifiquement à cette plateforme. En réalité, lorsqu’elle est gérée via un gestionnaire de mots de passe, la clé fonctionne également sur d’autres appareils et navigateurs. Cela rend les choses inutilement compliquées et confuses pour les utilisateurs.
En outre, les grandes entreprises technologiques telles qu’Apple, Google et Microsoft tentent souvent de pousser les utilisateurs vers leur propre écosystème. Cela signifie que les clés de sécurité sont synchronisées par défaut via iCloud, Google Password Manager ou Windows Hello, tandis que les solutions alternatives, telles que les clés de sécurité physiques, sont souvent cachées derrière de multiples clics.
Sécurité ou facilité d’utilisation
Comme nous l’avons déjà mentionné, les passkeys promettraient de remplacer les mots de passe, mais cette promesse reste incomplète. La plupart des sites web proposent encore des mots de passe comme deuxième option. Certaines plateformes, comme PayPal et Amazon, s’appuient encore sur l’authentification par SMS, l’une des formes les moins sûres d’authentification multifactorielle (AMF). Ils peuvent être interceptés et vous dépendez d’un réseau mobile.
Un autre inconvénient est la dépendance à l’égard des gestionnaires de mots de passe pour une utilisation multiplateforme. Bien que les gestionnaires de mots de passe simplifient la synchronisation des clés, ils n’apportent pratiquement rien à un système d’authentification plus simple sans applications supplémentaires. Pour de nombreux utilisateurs, un gestionnaire de mots de passe reste un obstacle, souvent parce qu’ils pensent qu’il nécessite un travail supplémentaire ou qu’il n’est pas assez sûr. Cela n’aide pas non plus à normaliser les codes d’accès.
Que faire ?
Pour certains utilisateurs, comme ceux qui n’utilisent qu’un iPhone et un Mac et qui n’ont que quelques comptes, les passkeys peuvent déjà être une bonne solution. Ils offrent une sécurité simple contre le phishing et le MFA. Mais pour tous ceux qui disposent d’un écosystème d’appareils diversifié ou qui n’ont pas accès à un bon gestionnaire de mots de passe, les mots de passe traditionnels combinés à l’AMF, comme une application d’authentification ou une clé de sécurité, restent la meilleure option.
En principe, les internautes devraient de plus en plus opter pour un gestionnaire de mots de passe, car celui-ci génère automatiquement des mots de passe longs et uniques et les stocke normalement de manière sécurisée et cryptée. Il s’agit là d’un premier pas vers une meilleure sécurité en ligne, l’étape suivante étant logiquement les clés USB.
L’avenir des passeports
Bien que les passkeys aient le potentiel de remplacer les mots de passe, ils ne sont pas encore prêts pour le grand public. La complexité des implémentations, le manque d’uniformité et la dépendance à l’égard des mots de passe traditionnels font que, pour l’instant, elles constituent principalement un complément aux méthodes de sécurité existantes.
Avec un développement plus poussé et une adoption plus large, les passkeys pourraient bientôt devenir la nouvelle norme en matière de sécurité en ligne. En attendant, les mots de passe forts et l’AMF restent les meilleures options.