Clé à emporter
- iCloud Passkey supprime les mots de passe et rend les connexions beaucoup plus sécurisées.
- WebAuthn est une norme de navigateur pour l'authentification sans mot de passe.
- WebAuthn et iCloud Passkey utilisent la cryptographie à clé publique pour faire l'acte.
Avec iCloud Passkey, Apple est sur le point de rendre le mot de passe obsolète. Enfin.
Les mots de passe sont un énorme problème. Les mots de passe faibles ou volés sont à l'origine de plus de 80 % des piratages, et les gens sont tout simplement terribles pour gérer les mots de passe. Soit nous les oublions, soit nous utilisons le nom de nos chiens ou de nos enfants, soit nous utilisons le même mot de passe pour tout. Les gestionnaires de mots de passe comme NordPass ou iCloud Keychain peuvent aider, mais un mot de passe est toujours fondamentalement non sécurisé. Les clés de passe dans iCloud Keychain et le nouveau standard WebAuthn veulent résoudre ce problème, mais peuvent-ils vraiment remplacer le mot de passe ?
"Si Apple le déploie en standard sur ses appareils, des millions de personnes s'y habitueront et d'autres géants de la technologie comme Google suivront", a déclaré Christen Costa, PDG de Gadget Review, à Lifewire par e-mail.
Clés publiques
Le problème avec un mot de passe, c'est qu'il doit être gardé secret, mais il doit aussi être partagé. Les clés de passe iCloud utilisent ce qu'on appelle la cryptographie à clé publique. Celui-ci est composé de deux clés. La clé publique ne peut que verrouiller des éléments, elle peut donc être partagée en toute sécurité; la clé privée peut à la fois verrouiller et déverrouiller les données, et elle ne quitte jamais votre appareil.
Lorsque vous vous inscrivez à un site Web ou à un service à l'aide d'iCloud Passkeys ou de WebAuthn, une nouvelle paire de clés est générée et la clé publique est partagée avec le service, à la place d'un mot de passe. Le hic, c'est que vous devrez utiliser l'un de vos propres appareils pour vous connecter, mais dans la pratique, ce sera rarement un problème et les avantages en matière de sécurité sont énormes. Et si vous utilisez déjà un gestionnaire de mots de passe et une authentification à deux facteurs, vous êtes déjà sur un appareil exécutant votre application de gestion de mots de passe.
Un autre problème, cependant, est que si un attaquant s'empare de votre appareil et parvient à y accéder, alors tous les paris sont ouverts. Cependant, les appareils iOS et Mac modernes sont très difficiles à cracker, et voler un téléphone demande beaucoup plus d'efforts que d'envoyer des e-mails de phishing.
Les clés de passe dans iCloud Keychain sont faciles
L'utilisation des clés de passe dans iCloud Keychain est simple. Lorsque vous vous inscrivez pour un nouveau compte d'utilisateur sur un site Web, vous entrez une adresse e-mail et votre iPhone vous demandera de confirmer que vous créez un compte. C'est ça. Le nouveau mot de passe est stocké dans votre trousseau et la partie publique est stockée par le site Web.
La grande différence est que la clé publique est conçue pour être publique. Il n'a pas besoin d'être caché ou gardé secret. Si le site Web est piraté, voler toutes ces clés publiques est inutile, car elles ne feront rien. Ces violations massives de mots de passe dont vous avez connaissance toutes les quelques semaines ? Ils appartiendront au passé.
"Si nous examinons comment les mots de passe fonctionnent aujourd'hui, vous entrez d'abord votre mot de passe, puis il est généralement obscurci par quelque chose comme le hachage plus le salage, et le hachage salé résultant est envoyé au serveur", explique Garrett Davidson d'Apple dans un WWDC session intitulée "Aller au-delà des mots de passe". "Maintenant, vous et le serveur avez tous deux une copie du secret, même si la copie du serveur est obscurcie, et vous êtes tous les deux également responsables de la protection de ce secret."
Qu'en est-il de votre gestionnaire de mots de passe ?
Cette technologie peut sembler catastrophique pour les applications de gestion de mots de passe, mais cela fait peu de différence. La plupart des utilisateurs comptent déjà sur le gestionnaire de mots de passe iCloud intégré.
Les utilisateurs expérimentés, le genre de personnes qui aiment les fonctionnalités supplémentaires et qui dissocient leurs mots de passe de leur identifiant Apple, continueront à utiliser des applications autonomes.
Si Apple le déploie en standard sur ses appareils, des millions de personnes s'y habitueront et d'autres géants de la technologie comme Google suivront.
"Personne ne veut plus de concurrents, mais de telles solutions intégrées ne sont pas l'objectif principal du navigateur", déclare Chad Hammond, expert en sécurité de Nordpass. "Par conséquent, ils ne résolvent pas les mêmes problèmes globaux que les gestionnaires de mots de passe. La fonction principale d'un navigateur est de donner à l'utilisateur l'accès à l'information, et un gestionnaire de mots de passe n'est qu'une des nombreuses fonctionnalités qu'il offre. Dans les gestionnaires de mots de passe dédiés, c'est la caractéristique principale."
D'autre part, la portée d'Apple peut mettre cette nouvelle technologie d'authentification entre de nombreuses mains, ce qui est une victoire pour tout le monde. Les paiements sans contact existaient avant Apple Pay, mais n'ont décollé aux États-Unis qu'après qu'Apple l'a ajouté à l'iPhone. Les mots de passe ne vont pas disparaître de sitôt, mais nous avons enfin une alternative intrinsèquement sécurisée, facile à utiliser et qui ne vous permet pas d'utiliser le nom de votre chien. Encore.