Apple veut remplacer les mots de passe avec PassKeys

Avec iOS 16, iPadOS 16, tvOS 16 et macOS 13 Ventura, Apple introduit une nouvelle fonctionnalité "Passkeys" qui remplace les mots de passe traditionnels sur un site web ou une application. Les Passkeys sont plus sûrs que les mots de passe et protègent les utilisateurs contre le phishing, les logiciels malveillants et d'autres attaques visant à obtenir un accès au compte sans votre accord. En gros, c'est une solution pour lutter contre la fraude.

PassKeys signe la fin des mots de passe

Selon Apple, les Passkeys sont des identifiants de nouvelle génération, plus sûrs et plus faciles à utiliser que les mots de passe standard. Comme l'explique Apple dans un document d'assistance sur cette fonctionnalité, les Passkeys sont construits sur la norme WebAuthn et utilisent une paire de clés cryptographiques unique pour chaque site web ou compte.

Les Passkeys remplacent les mots de passe. Ils permettent de se connecter plus rapidement, sont plus faciles à utiliser et beaucoup plus sûrs.

Les Passkeys remplacent les mots de passe et sont conçus pour permettre aux sites Web et aux applications de se connecter sans mot de passe, ce qui est à la fois plus pratique et plus sûr. Les Passkeys sont une technologie standard qui, contrairement aux mots de passe, résiste au phishing, est toujours forte et est conçue pour qu'il n'y ait pas de secrets partagés. Ils simplifient l'enregistrement des comptes pour les applications et les sites Web, sont faciles à utiliser et fonctionnent sur tous vos appareils Apple, et même sur les appareils non-Apple à proximité physique.

La première clé est publique et stockée sur le serveur du site web, tandis que la seconde est privée et conservée sur l'appareil, comme le protocole RSA par exemple. Sur l'iPhone et d'autres appareils dotés d'une authentification biométrique, Face ID ou Touch ID est utilisé pour autoriser la clé afin d'authentifier l'utilisateur sur le site web. Les clés doivent correspondre pour permettre une connexion, et comme la deuxième clé est privée et disponible uniquement pour l'utilisateur, elle ne peut pas être volée, faire l'objet d'une fuite ou d'un hameçonnage.

Les Passkeys, une fonctionnalité parmi les 240 nouveautés d'iOS 16, s'appuient sur le trousseau iCloud, qui nécessite à son tour une authentification à deux facteurs pour une protection supplémentaire. Les clés sont synchronisées sur tous les appareils de l'utilisateur par le trousseau iCloud, qui est chiffré de bout en bout avec ses propres clés de chiffrement.

La synchronisation des clés entre les comptes assure une redondance en cas de perte d'un appareil Apple, mais si tous les appareils Apple d'une personne sont perdus et les clés avec, Apple a mis en place une fonction de séquestre du trousseau iCloud pour récupérer les informations relatives aux clés. Il existe un processus d'authentification en plusieurs étapes à suivre pour récupérer un trousseau iCloud contenant des clés, ou les utilisateurs peuvent établir un contact pour la récupération du compte.

Bien que les passkeys semblent compliqués sur le papier, dans la pratique, il sera aussi simple d'utiliser Touch ID ou Face ID pour créer un passkey pour accompagner une connexion.

Apple a collaboré avec les membres de l'Alliance FIDO, dont Google et Microsoft, afin de s'assurer que les Passkeys puissent également être utilisés avec des appareils non-Apple et sur différentes plateformes. Sur les appareils non-Apple, les Passkeys fonctionneront par le biais de QR codes qui permettront de s'authentifier à l'aide de l'iPhone, mais cela nécessitera le soutien d'autres entreprises, c'est donc une norme qui doit être adoptée dans le monde de la technologie.

Reste à savoir comment tout cela sera géré du côté d'Android par exemple. Apple affirme que la transition vers l'abandon des mots de passe prendra un certain temps, mais qu'elle travaillera avec les développeurs pour créer un avenir sans mot de passe.