Apple Passkeys : Pourquoi tout le monde sur Internet en profite

Combien de temps passez-vous à vous souvenir de vos mots de passe ? Créez-vous de nouvelles clés de sécurité chaque année et faites-vous attention à la force de la sécurité en fonction des séquences de caractères et de chiffres ? Probablement pas, car les entreprises de sécurité trouvent trop souvent des mots de passe non sécurisés dans leurs bases de données chaque année. La plupart des mots de passe sont trop simples, ne changent jamais et peuvent casser en quelques minutes.

Cela rend les mots de passe Apple faciles à utiliser. / © Apple / Capture d’écran : NextPit

Il est donc louable qu’Apple ait annoncé une nouvelle méthode d’authentification, connue sous le nom de mots de passe, pour remplacer les mots de passe. Sur le web, la nouvelle méthode est fortement liée à l’écosystème d’Apple, c’est dommage. En effet, dans le cas de Passkeys, Apple a simplement décrit sa manière de gérer les nouveaux mandats WebAuthn.

Pourquoi les “passes” ne sont-ils pas limités aux utilisateurs Apple ?

Vous avez bien lu. “Passkeys” n’est pas une invention exclusive d’Apple, même si cela sonnait ainsi lors de la WWDC 2022. Il s’agit des marques déposées internes d’Apple pour un nouveau type d’identifiant de connexion développé par FIDO Alliance. Apple ne fait pas partie de l’alliance, mais ils disent qu’il s’est associé à Google et Android, entre autres, et adhère aux normes FIDO pour son Passkey. Tôt ou tard, presque tous les internautes bénéficieront de l’utilisation d’un mot de passe.

WWDC 2022 d'Apple

Les “mots de passe” sont synchronisés entre les appareils Apple, mais ce ne sont pas les prérogatives d’Apple. / © Pomme ; Capture d’écran : Next Pit

L’idée de base est d’implémenter la connexion à l’aide de clés de sécurité, et non de mots de passe. Du point de vue de l’utilisateur, les identifiants sont alors protégés par des méthodes biométriques qui permettent de comparer les clés de sécurité avec le serveur. Si vous utilisez déjà Face ID et Touch ID pour déverrouiller le trousseau iCloud, il y aura très peu de changement dans l’accès à vos comptes.

Bien que les connexions d’aujourd’hui sur iOS soient déjà aussi pratiques que les codes d’accès ultérieurs, c’est un gros inconvénient. Vous autorisez actuellement iCloud Keychain à copier votre mot de passe sur l’écran de connexion. De là, il est ensuite transmis à l’opérateur du serveur. Il existe toujours un risque que vos mots de passe soient obtenus par le biais d’attaques man-in-the-middle (MITM) ou autres.

Cependant, même le phishing, c’est-à-dire la fraude par mot de passe en présence d’un service d’urgence très important ou d’autres tactiques de manipulation sociale, est possible avec cette méthode. Désormais, vous pouvez facilement copier et coller les mots de passe de votre trousseau dans n’importe quel message si vous avez été victime d’une arnaque.

C’est pourquoi les codes d’accès et Apple sont si sécurisés

Ainsi, l’utilisation de mots de passe vous protège même du danger proverbial d’être assis devant un écran. Au fond, tout repose sur deux clés de sécurité – publique et privée. La clé publique se trouve sur le serveur après la configuration, tandis que la clé privée reste toujours sur l’appareil utilisé pour se connecter. L’astuce réside dans la formule mathématique qui sous-tend la méthode.

Capture d'écran de NordVPN

Actuellement, la meilleure façon de prévenir les attaques MITM est de passer par les fournisseurs de VPN. / © NextPit

Comme l’a écrit Popular Science, il a été conçu pour que la clé privée n’ait pas besoin d’être transmise au serveur lors des tentatives de connexion. Cela permet de sécuriser votre mot de passe même en cas d’attaques MITM ou de piratages réussis sur les serveurs d’entreprise. Les clés sont basées sur la norme WebAuthentification (WebAuthn), qui est utilisée depuis un certain temps pour se connecter au Web sans mot de passe.

Donc, si tout est déjà disponible, la question est : pourquoi tout le monde se comporte-t-il comme Apple a réinventé le mot de passe ?

Pourquoi tout le monde se comporte-t-il comme Apple a réinventé le mot de passe ?

Hé, bonne question ! Ce que vous pouvez attribuer à Apple : ils sont les premiers à utiliser des codes d’accès sur tous leurs appareils. En même temps, ils fournissent une interface de programmation d’application ou une API pour leurs codes d’accès. Bien sûr, pour pouvoir se connecter avec des mots de passe, les sites Web et les services doivent d’abord créer les prérequis. Avec Apple lançant ses nouveaux systèmes d’exploitation en version bêta pour les développeurs six mois avant le lancement d’iOS 16, watchOS 9, iPadOS 16 et macOS 13, de nombreuses applications et appareils pourraient arriver sur le marché. En tout cas, Apple a déjà présenté ses mandats WebAuthn pour la WWDC 2021.

Les laissez-passer sont également fermement attachés au porte-clés iCloud. Vous pouvez y accéder à partir de n’importe quel appareil Apple que vous avez enregistré avec votre identifiant Apple. Étant donné qu’Apple utilise un cryptage complet pour son trousseau de clés et ne connaît pas les clés de sécurité, la page d’assistance indique qu’il s’agit d’un endroit sécurisé pour les clés d’accès.

Le système est également protégé par une authentification à deux facteurs. Par conséquent, si vous souhaitez enregistrer un nouveau mot de passe, vous devrez revérifier le processus sur votre appareil Apple ou via un navigateur Web en saisissant un code à six chiffres.

Apple n’a pas inventé la connexion sans (re)mot de passe, mais l’a simplement mise en œuvre intelligemment et en toute sécurité. De plus, les appareils Apple sont si largement utilisés que le succès de Cupertino est une bonne incitation pour les services et les sites Web à passer éventuellement à WebAuthn.

Les codes d’accès rendent-ils impossible la transition vers Android et Windows ?

Cependant, l’évolution d’Apple vers Passkeys m’a un peu inquiété lors de la diffusion en direct. Apple semblait à nouveau soutenir son “jardin clos” avec du méthylène. L’introduction de mots de passe ne rend-elle pas presque impossible l’utilisation d’appareils non Apple ou l’évasion de l’espace d’Apple ?

Bien qu’il ne soit pas encore clair à quel point l’intégration des codes d’accès d’Apple est fermée, et il y a trois arguments contre ma peur.

Démonstration de pommes sur l'ordinateur portable Windows.

Désormais, vous pouvez également vous connecter aux appareils Windows avec des codes QR à l’aide de clés d’accès. / © Apple / Capture d’écran : NextPit

1 : Lors de la conférence des développeurs, Apple a brièvement montré comment la connexion à des appareils non Apple est possible. L’écran de l’ordinateur portable Windows affiche un code QR où il doit être scanné avec un appareil Apple pour se connecter. Vous pouvez donc également vous connecter à Windows et Android, mais vous devez avoir votre iPhone ou iPad avec vous.

2 : Vous avez déjà accès à votre trousseau iCloud sous Windows. Tout ce que vous avez à faire est d’installer l’application iCloud et vous verrez le programme sur votre ordinateur. Le déverrouillage fonctionne via le propre service d’authentification de Windows, connu sous le nom de Windows Hello, et donc via la méthode de connexion biométrique. Cependant, je doute que ce système soit suffisamment sécurisé pour les codes d’authentification d’Apple. En effet, Windows utilise un code PIN comme sauvegarde, qui, dans le pire des cas, ne se compose que de quatre chiffres.

3 :: WebAuthn standard n’est pas, comme déjà mentionné, celui d’Apple et sera certainement utilisé nativement avec Android, Windows et d’autres systèmes d’exploitation à l’avenir. Cela signifie que vous pouvez définir de nouvelles clés de sécurité pour vous connecter et accéder aux sites Web. Même si elles diffèrent des clés synchronisées d’Apple, elles n’affecteront pas la manipulation après la configuration. De toute façon, vous ne vous connectez qu’avec un capteur d’empreintes digitales ou une reconnaissance faciale.

Conclusion : Les billets sont révolutionnaires, mais pas d’Apple.

Faisons à nouveau le point sur l’évolution. Indépendamment d’Apple, WebAuthn rend la connexion en ligne plus sécurisée. Après trop longtemps, nos données ne dépendent plus du temps ou de l’énergie que nous investissons dans le stockage de nos mots de passe. De plus, la norme offre une protection fiable contre le phishing, le piratage et même les types d’entreprises dans lesquelles nous nous connectons.

Apple fait un grand pas en avant à cet égard, étant la première entreprise à déployer le service sur les appareils. Dans le même temps, l’entreprise profite de son écosystème fermé pour rendre la connexion via Passkeys sécurisée et pratique.

Une autre étape importante est la décision d’Apple d’introduire les Passkeys comme un sujet important lors de sa conférence des développeurs, sans utiliser son nom. En un sens, Apple coupe les lauriers semés et cultivés en partenariat avec l’Alliance FIDO.

Après tout, quand Android ou Windows annonceront bientôt la prise en charge des mots de passe, le public l’associera certainement à Apple en tant qu’initiateur.

Touché, Apple. Toucher!

Sources:

Leave a Comment