Cet article a été publié pour la première fois sur inside-it.ch (en allemand) dans le cadre de la rubrique #Security de SWITCH. Cette rubrique paraît six fois par an. Les experts de SWITCH s'expriment de manière indépendante sur des sujets liés à la politique, à la technique et à la sensibilisation de la sécurité informatique.
Vers un avenir sans mots de passe avec Passkeys
Les attaques de phishing comptent, avec les cas de fraude, parmi les cyber incidents les plus fréquents en Suisse. Les Passkeys ouvrent la voie à un avenir plus sûr contre le phishing et plus convivial sans mots de passe. C'est ainsi que cela fonctionne.
Les attaques de phishing sont omniprésentes. Les cybercriminels volent et utilisent abusivement des données sensibles telles que les numéros de carte de crédit ou les informations d'accès. Outre le sentiment honteux et désagréable que l'on éprouve lorsque des cybercriminels s'emparent de son propre compte d'utilisateur, cela entraîne également d'énormes dommages économiques. Les cyberattaques ont fortement augmenté en Suisse ces dernières années et causent des dommages de plusieurs milliards de dollars dans le monde entier. Une protection adéquate contre les cyberattaques est donc devenue indispensable pour toute entreprise.
La protection des comptes utilisateurs et la sensibilisation des collaborateurs font partie des mesures centrales pour garantir la cybersécurité. Un seul compte compromis peut suffire à nuire durablement à une entreprise et à paralyser ses systèmes.
L'authentification à deux facteurs, un élément clé de la cybersécurité
Les comptes utilisateurs jouent donc souvent un rôle central dans les cyberattaques. Que ce soit pour exploiter directement les autorisations dans les systèmes ou indirectement pour collecter des informations internes à l'entreprise. Des mots de passe uniques et complexes contribuent largement à renforcer la sécurité des comptes. En combinaison avec l'authentification à deux facteurs (2FA), qui requiert un facteur d'identification supplémentaire, les utilisateurs peuvent d'ores et déjà bénéficier d'une protection accrue contre les accès non autorisés. Des études démontrent clairement que l'utilisation de plusieurs facteurs pour l'authentification réduit significativement le risque de compromission par rapport à l'utilisation exclusive d'un mot de passe.
En général, l'authentification à deux facteurs par SMS ou par l'application Authenticator est toutefois impopulaire, prend du temps et, en cas de perte du smartphone, peut plus facilement conduire à ce que les utilisateurs soient bloqués hors de leurs comptes. Pour ces raisons, l'authentification à deux facteurs est rendue aussi simple que possible, ce qui va malheureusement souvent de pair avec une diminution de la sécurité des comptes. En outre, les méthodes d'authentification à deux facteurs habituelles ne sont pas protégées contre les attaques de phishing, c'est-à-dire que les cybercriminels peuvent intercepter les informations de connexion et les utiliser pour un accès non autorisé. Une alternative plus sûre et plus conviviale à la sécurisation traditionnelle des comptes irait donc à l'encontre de l'arbitrage classique entre sécurité et convivialité.
Passkeys : Finis les compromis
Contrairement aux mots de passe traditionnels, les passkeys utilisent un procédé cryptographique à clé publique. Ils suivent donc une approche fondamentalement différente. Au lieu de mots de passe, les passkeys utilisent une paire de clés asymétriques. Celle-ci se compose d'une clé publique et d'une clé privée, la clé privée étant stockée en toute sécurité sur les terminaux des utilisateurs. Cette approche réduit les risques liés à l'authentification par mot de passe. Le stockage des mots de passe est remplacé par la possession de la clé privée sur un appareil sécurisé.
Correctement configurés, les passkeys permettent une authentification à deux facteurs. En plus de la possession de la clé d'accès (1er facteur), une identification explicite (2e facteur) peut être demandée. Les services correspondants demandent aux utilisateurs d'utiliser un passkey avec prise en charge des empreintes digitales, de la reconnaissance faciale ou du code PIN. En règle générale, cela se fait au moyen d'un ordinateur portable, d'un smartphone ou d'un authentificateur USB basé sur le matériel.
La technologie sous-jacente de Passkey, la norme WebAuthn, existe depuis quelques années déjà. Toutefois, des progrès considérables ont été réalisés récemment en matière de normalisation. En particulier, tous les principaux fabricants de navigateurs et de systèmes d'exploitation se sont regroupés au sein de l'Alliance FIDO et s'efforcent d'intégrer la technologie dans leurs solutions. Cette association crée non seulement une norme de sécurité globale, mais garantit également une forte interopérabilité et donc une meilleure convivialité. C'est dans ce contexte que le terme Passkey a été créé pour désigner la nouvelle technologie.
Synchronisation des clés d'accès dans le nuage
Comme le montre le graphique ci-dessus, la clé privée nécessaire à l'authentification peut être synchronisée sur tous les terminaux du même compte cloud (p. ex. Google ou Apple) via la synchronisation cloud et le chiffrement de bout en bout. L'enregistrement d'une clé d'accès sur un terminal la rend généralement automatiquement disponible sur tous les terminaux du compte cloud. Tant que les utilisateurs ont accès aux comptes cloud, les procédures de récupération, par exemple en cas de perte d'un smartphone, sont donc également sécurisées. Comme décrit, il est également possible d'enregistrer des clés d'accès sans synchronisation avec le nuage, par exemple avec un authentificateur USB. En fin de compte, il faut évaluer individuellement dans quels cas une synchronisation dans le nuage répond aux exigences de conformité. Pour les particuliers, cette évaluation sera différente de celle des entreprises.
Il est alors très facile de se connecter à un service préalablement enregistré à l'aide d'une clé d'accès.
Les utilisateurs accèdent à un service, saisissent leur nom de connexion et se voient ensuite demander une preuve biométrique ou un code PIN. Les Passkeys résolvent donc effectivement de nombreux obstacles à l'authentification auxquels on est confronté dans le monde en ligne au quotidien. Trois points essentiels méritent d'être soulignés une nouvelle fois :
- Meilleure convivialité
L'expérience utilisateur devient familière et uniformément standardisée sur de nombreux appareils et sur différentes plates-formes. Les passkeys permettent donc de naviguer facilement et en toute sécurité sur le web. - Sécurité accrue
Les Passkeys sont basés sur des technologies cryptographiques qui se sont avérées résistantes au phishing et à d'autres attaques. La sécurité du compte peut ainsi être considérablement renforcée sans effort supplémentaire. - Évolutivité
Passkeys permet de réduire le stock de mots de passe et de le limiter à un seul magasin de confiance qui gère toutes les clés cryptographiques pour l'utilisateur. L'époque des carnets de mots de passe est révolue.
Cette technologie a donc le potentiel de changer durablement la manière dont nous nous authentifions sur le web et de la simplifier.
Support du navigateur en cours de développement
Il convient toutefois de préciser qu'à l'heure actuelle, tout ce qui brille n'est pas encore d'or. De nombreux navigateurs et systèmes d'exploitation prennent en charge la norme depuis quelques mois déjà, et les clés d'accès peuvent donc être enregistrées sur les appareils Apple et Android actuels. Malheureusement, il existe encore des combinaisons courantes de navigateurs et de systèmes d'exploitation qui ne prennent pas encore entièrement en charge la norme. Firefox, par exemple, ne supporte actuellement que de manière limitée la norme requise pour les clés d'accès. Ces restrictions affectent encore les " early birds ". Elles disparaîtront toutefois peu à peu.
Plein de curiosité pour un avenir sans mot de passe
Dans le monde d'aujourd'hui, une protection adéquate des données sensibles est essentielle. Des mots de passe forts offrent une protection de base contre les cybercriminels et, en combinaison avec un deuxième facteur, la sécurité du compte peut être augmentée de manière significative. L'authentification traditionnelle à deux facteurs à l'aide de SMS ou d'applications d'authentification reste fastidieuse et ne résiste pas totalement aux attaques de phishing.
Avec Passkeys, une nouvelle méthode d'authentification s'établit, qui dépasse le compromis habituel entre sécurité et facilité d'utilisation et offre une alternative sans mot de passe et résistante au phishing aux mots de passe. SWITCH edu-ID, l'identité numérique des membres des hautes écoles suisses, a mis en œuvre cette fonction au cours des derniers mois et recueille actuellement les premières expériences productives avec des utilisateurs sélectionnés. Il faudra sans doute encore un peu de temps avant que les Passkeys ne soient complètement établis dans notre quotidien, mais l'avenir sécurisé dans le domaine de l'authentification sur Internet est certain.
Identité numérique
Cyber Security