C’est à l’occasion de la WWDC 2022 qu’Apple a donné un petit aperçu de ce que sera la fin des mots de passe dans son écosystème. L’entreprise américaine a profité de la présentation de son nouveau système d’exploitation pour ordinateur, macOS Ventura, pour montrer son plan de bataille. Le système s’appelle « Passkeys » — Codes d’accès, en français.
L’idée des Codes d’accès est de fournir une autre manière de s’identifier que les mots de passe. Il s’agit de les remplacer en se servant d’un produit de la marque américaine, comme un iPhone ou un Mac. C’est à travers lui que l’on se connectera. Pour cela, le navigateur web Safari, conçu par Apple, sera mobilisé, notamment.
Cette nouvelle approche, développe la firme de Cupertino, est perçue comme bien plus sûre, y compris face à « toutes les méthodes habituelles d’authentification à deux facteurs », selon le groupe. L’authentification forte est aujourd’hui la solution la plus conseillée pour le grand public. Elle offre une protection de haut niveau, tout en demeurant commode à employer.
De fait, elle sort le mot de passe de l’équation de la sécurité informatique. Ce faisant, cela neutralise les attaques reposant dessus, comme l’hameçonnage (phishing), qui consiste à berner un particulier pour qu’il donne son identifiant et son mot de passe, mais aussi l’ingénierie sociale, qui a le même objectif, et les fuites de bases de données contenant ce type de codes.
Ventura est la première plateforme d’Apple à gérer le support des codes d’accès, via Safari. Mais on devine que les Passkeys ont vocation à se propager dans le reste de l’écosystème, d’autant que les briques sur lesquelles ce système repose sont déjà en place, ou presque. Safari est disponible sur tous les appareils Apple et la biométrie est aussi largement déployée.
Apple entend mobiliser la biométrie pour tourner la page des mots de passe
Les codes d’accès vont mobiliser la biométrie à la place du mot de passe. La biométrie consiste à utiliser des paramètres physiologiques pour vérifier si une personne a le droit ou non d’accéder à telle ou telle ressource. Pour Apple, cela passe par la lecture d’une empreinte digitale (Touch ID) ou la reconnaissance faciale (Face ID).
Ces solutions figurent de longue date dans les produits les plus populaires d’Apple, avec l’iPhone ou l’iPad. L’idée, en somme, est de servir de l’un ou l’autre, non pas pour déverrouiller son terminal, mais de se connecter à son Mac, à un site web ou bien à une application. Si les codes d’accès doivent remplacer les mots de passe, il leur faut donc être exploitables partout.
En théorie, les codes d’accès régleraient aussi le problème de la mémorisation des mots de passe : plus besoin de faire un effort intellectuel, puisqu’il n’y a plus rien à retenir. Tout passe par vos caractéristiques physiques, que vous n’avez pas besoin de réciter. Il suffit juste de les lire. C’est très simple sur le papier. Et c’est un sujet redoutable pour les gestionnaires de mots de passe.
La bascule vers plus de biométrie soulève des questions sensibles, car si le mot de passe est un élément sensible, un paramètre biométrique est une donnée critique. Il est courant de dire que si un mot de passe est piraté, il suffit de le remplacer dans la foulée. Pour la biométrie, on ne peut changer son visage, ses empreintes digitales, son iris ou sa voix.
Évidemment, Apple a pris soin de limiter au maximum les risques de piratage. « Les données de Face ID ne sortent jamais de l’appareil et ne sont jamais sauvegardées sur iCloud ni ailleurs », rappelle la société. Dans le cas de la reconnaissance faciale, qui a été introduit avec l’iPhone X, c’est à partir d’une représentation mathématique du visage que la comparaison est faite.
Apple prévoit aussi d’ériger des barrières pour protéger ces codes d’accès. Ils ont vocation à demeurer sur l’appareil (par exemple l’iPhone) : ils ne sont jamais stockés sur un serveur web. Ils ont la possibilité de circuler entre les différents appareils appartenant à un même individu (iPhone, iPad, Mac, Apple TV), via du chiffrement de bout en bout et le Trousseau iCloud.
Les assertions d’Apple seront certainement mises à l’épreuve dans les jours, les semaines et les mois qui viennent, quand le système se démocratisera et que des spécialistes de sécurité informatique ou des personnes plus malveillantes tenteront d’échafauder des stratégies pour mettre à mal les codes d’accès — en exploitant des vulnérabilités logicielles ou matérielles.
Les codes d’accès sont des clés numériques uniques qui restent sur l’appareil et ne sont jamais stockées sur un serveur web
Apple
Mais si le risque zéro n’existe pas en informatique, la balance risque-bénéfice est susceptible de pencher en faveur des Passkeys. Par rapport au panorama actuel des mots de passe, qui sont dérobés, volés, trop faibles, trop communs, trop similaires entre eux, les codes d’accès paraissent présenter une exposition moindre — en tout cas bien moindre que les mots de passe.
Ce sera à juger sur pièces. Toujours est-il que les codes d’accès ont d’autres mérites : ils se veulent très accessibles et simples d’utilisation. Ils paraissent générer moins de friction lors de la connexion à un service, à un terminal, un site ou une appli. Ils peuvent même servir à verrouiller quelque chose de très banal, comme une note sur Mac, sans avoir à créer (et à retenir) un autre mot de masse.
Ce plan n’est pas une lubie solitaire d’Apple. Il s’inscrit en fait dans un plan plus large qui mobilise d’autres géants de la tech, à commencer par Microsoft (Windows) et Google (Android). D’autres, comme Amazon, Intel, Facebook, Lenovo, Mastercard, PayPal, Qualcomm, Thales, Samsung, Yahoo, Visa, ARM, eBay, Huawei, Netflix, Sony et Twitter, sont aussi sur le coup.
Début mai, Apple, Google et Microsoft ont annoncé l’union de leurs forces pour faire émerger plus vite un monde sans mots de passe. Les trois géants ont convenu que pour cela, il faut que ces clés numériques uniques puissent être utilisées au-delà de chaque écosystème. En somme, un iPhone permettrait de déverrouiller un PC sous Windows. Et ainsi de suite.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !