Fini les mots de passe: voici ce qui va les remplacer

Les mots de passe nous accompagnent sur le web depuis des années. Chaque internaute est forcement inscrit sur, au minimum, une petite poignée de site, des dizaines ou des centaines parfois. Ce qui signifie, pour les plus prudents, des centaines de mots de passe. Certains ont une bonne mémoire, quelques-uns utilisent des programmes gestionnaires de mots de passe, d’autres un carnet ou des Post-its. Ce qui explique que beaucoup de personnes prennent ce sujet à la légère, en choisissant des codes tels que « motdepasse », « azerty » ou « 12345 », toujours très fréquent.

Heureusement pour ces derniers, cette méthode d’identification devrait progressivement disparaitre, ou, en tout cas, ne plus être l’unique solution disponible.

Et pour les utilisateurs d’iPhone, iPad et autres appareils Apple, la transition pourra déjà commencer dans les prochains jours.

Du password à la passkey

Le remplaçant du mot du passe est la passkey ou «clé d’accès» en français. Cela fait plusieurs années qu’elle est développée par l'alliance FIDO, une association de différentes entreprises du numérique ouverte à toutes, avec pour but de trouver une nouvelle solution bien plus sûre tout en étant beaucoup plus pratique et applicable à tous les sites et applications.

Avec la passkey, plus besoin de retenir un mot de passe. Lors de la création d’un compte, deux clés cryptographiques sont créées, l’une publique, stockée dans le cloud et l’autre complètement secrète, liée à votre smartphone ou tablette, accessible via une donnée biométrique : rétine, voix, empreinte digitale, visage. Plus simplement, c’est comme un cadenas et une clé, qui serait liée à votre corps.

Concrètement : vous voulez vous connecter à Facebook. Le site va vous demander votre passkey. Vous allez donc, par exemple, scanner votre index afin d’autoriser l’envoi de cette information, votre clé.

Sauf que ça ne sera plus Facebook lui-même qui vérifiera si c’est la bonne. Elle demandera au serveur/application/cloud qui stocke votre «cadenas» si c’est bien vous. Tout cela évidemment en quelques secondes, même moins.

L’avantage est donc double. Plus besoin de retenir un seul mot de passe : votre doigt ou votre visage « contiendra » toutes vos passkeys. Et tout le monde y gagne en sécurité : votre passkey n’apparaitra plus nulle part, sur aucun serveur qui pourrait être piraté par exemple. Les sites et applications sur lesquels vous possédez un compte ne connaitront plus vos codes, ils sauront uniquement si c’est bien vous ou pas à chaque connexion.

Seul inconvénient: vous aurez toujours besoin de votre smartphone avec vous pour vous connecter, même sur un ordinateur. Mais c’est déjà le cas de beaucoup d’entre nous...

Déjà des passkeys chez Apple

Cette nouvelle solution s’approche de plus en plus de nous. Microsoft a annoncé qu’il proposerait bientôt l’utilisation de passkeys, tout comme Google, qui vise «la fin 2022», et d’autres services de gestion de mots de passe externes aux géants du Web.

Mais les utilisateurs d’iPhone et d’iMac pourront très bientôt profiter de cette technologie. La mise à jour pour téléphones iOS16, disponible le 16 septembre, et celle pour ordinateurs, macOS Ventura, sera téléchargeable en octobre.

Toutes deux permettront aux utilisateurs de créer des passkeys pour leurs nouveaux comptes ou pour leurs comptes existants. La fonctionnalité Trousseau, qui permet actuellement de stocker vos mots de passe, préservera donc la deuxième clé cryptographique sur iCloud.

Bien sûr, il ne s’agit là que d’une première étape. Encore faut-il que sites et applications proposent également à leurs membres d’utiliser cette technologie, plus pratique et sûre, mais encore très récente...