Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Clés d’accès (passkeys) : leur importance et leur fonctionnement

Passe pas partout

Clés d’accès (passkeys) : leur importance et leur fonctionnement

Les clés d’accès – ou « passkeys »- sont un moyen de se débarrasser des mots de passe. Elles ont été créées par un regroupement de grosses entreprises de la tech. Avant de plonger dans plusieurs scénarios pratiques dans un prochain article, nous allons d’abord nous pencher sur leur fonctionnement.

Le 07 juin à 17h29

Les mots de passe ont fait leur temps. De multiples entreprises, de sécurité ou non, le disent depuis des années. Les recommandations de l’ANSSI ont évolué elles aussi, pour suivre les problèmes de sécurité liés aux mots de passe. Et ils sont nombreux.

Actuellement, on considère qu’un mot de passe est fort s’il contient au moins douze caractères mélangeant des majuscules, minuscules, chiffres et caractères spéciaux. Il ne doit incorporer aucune information évidente, comme un prénom, une date de naissance, le nom d’un animal domestique, etc. Il ne doit plus contenir aucun mot présent dans le dictionnaire.

L’alternative est la phrase de passe : une séquence de quatre ou cinq mots, liés par des caractères spéciaux (souvent des tirets). Ces mots peuvent être issus du dictionnaire et constituer une courte phrase, d’où leur nom. Il s’agit actuellement de la recommandation principale de l’ANSSI et de la CNIL. En effet, en dépit de l’usage de mots existants, c’est la taille de la phrase qui fait sa force.

Il manque une recommandation cruciale : ne jamais réutiliser les mots de passe. Idéalement, il faut que les mots ou phrases de passe soient aléatoires. Il faut également que chaque site ou service ait son propre mot de passe. Le danger, sinon, est connu : puisque l’adresse email sert souvent d’identifiant, la récupération des deux – par exemple, lors d’une fuite de données chez un prestataire – permet leur réutilisation sur d’autres services.

Les gestionnaires de mots de passe, une avancée…

Les gestionnaires de mots de passe permettent de simplifier largement la gestion des mots et phrases de passe. Ils peuvent créer des séquences aléatoires de caractères ou de mots. Des options autorisent une grande finesse dans cette génération, comme le nombre et le type de caractères. Plus la taille est importante, meilleur est le mot de passe.

Il y a trois écoles parmi les gestionnaires. Premièrement, les solutions synchronisées comme LastPass, Dashlane, BitWarden et autres. Avantage : les identifiants vous suivent partout, sur tous les appareils. Intégrant des extensions pour les navigateurs et proposant des applications mobiles, on peut les utiliser dès que l’on en a besoin. Il y a deux inconvénients principaux. D’abord, il faudra créer un mot de passe protégeant le compte. Il doit être assez fort pour protéger efficacement l’accès à ce compte, particulièrement précieux. Ensuite, le service peut être victime d’une fuite. Auquel cas, si l’entreprise concernée n’a pas bien fait son travail, vos données peuvent se retrouver dans la nature. Les mésaventures de LastPass ont rappelé brutalement la réalité.

Deuxièmement, les gestionnaires intégrés aux navigateurs. Qu’il s’agisse d’Apple, Google ou encore de Microsoft, tous proposent un gestionnaire intégré. Dans le cas d’Apple, il s’agit du Trousseau, présent dans macOS depuis bien longtemps. Gros avantage de ces solutions : elles sont totalement intégrées. Si vous n’utilisez que le même navigateur partout, vos données vous suivent. Inconvénient, tout est beaucoup moins pratique dès que vous utilisez un ensemble hétérogène d’appareils. En outre, leur interface de consultation est souvent moins pratique qu’un gestionnaire dédié.

Enfin, les gestionnaires « simples ». On parle cette fois d’une petite application locale et non synchronisée. Le plus connu est KeePass (et sa variante KeePassXC). Il y a plusieurs avantages, dont l’hébergement local des données. Pas besoin de faire confiance à une entreprise quelconque. En outre, ces logiciels proposent souvent des fonctions très poussées pour la génération des mots de passe, afin d’augmenter l’entropie. Inconvénient majeur : leur récupération depuis d’autres appareils est moins aisée, car il faut alors s’occuper soi-même de la récupération des informations.

… mais une mesure minimale désormais

Un gestionnaire de mots de passe est aujourd’hui une mesure minimale. À moins d’une mémoire eidétique, il est impossible de retenir de nombreux mots de passe forts et uniques. Le gestionnaire résout ainsi les deux problèmes que sont les mots de passe unique et leur mémorisation.

Cependant, il ne peut rien faire contre les accidents survenant chez les prestataires de services. Une fuite de données et tout peut arriver. C’est pour cela que l’ANSSI et bien d’autres acteurs poussent vers l’authentification à facteurs multiples.

Nous avons abordé le sujet en avril, quand la CNIL a évoqué une future recommandation. Le principe est simple : toujours associer deux facteurs parmi trois : connaissance, possession et inhérence.

Le plus souvent, il s’agit d’un code à six chiffres envoyé par SMS, email ou généré par une application. On doit donner ce code, en plus du mot de passe, pour pouvoir se connecter. Le code arrivant sur le smartphone, il permet de bloquer en théorie toutes les tentatives d’accès si le mot de passe est trouvé ou dérobé par un tiers. Comme nous l’avons vu cependant, cette protection est certes efficace, mais pas absolue.

Les clés d’accès, nées d’un besoin

La protection des accès aux données fait depuis longtemps l’objet de travaux. La biométrie a notamment renforcé cette protection, tout en simplifiant l’usage. Elle ne se substitue jamais cependant au mot de passe. Il reste disponible dans le cas où, par exemple, le capteur d’empreinte digitale ne fonctionnerait plus.

Pour franchir un pas significatif, plusieurs grosses sociétés américaines veulent se débarrasser des mots de passe. Apple, Google et Microsoft notamment, dont les travaux communs ont été chapeautés par la FIDO Alliance, qui émet des standards ouverts sur les mécanismes de vérification d’identité. Ce consortium cherchait une solution aux problèmes récurrents des mots de passe et a accouché des fameuses clés d’accès.

Qu’est-ce qu’une clé d’accès ?

Le principe d’une clé d’accès est simple : c’est un élément d’identification, attaché à un appareil et stocké dans une zone sécurisée. Elle est créée par un service qui, lors d’une connexion, ira la chercher automatiquement pour valider l’identification, sans avoir à écrire le mot de passe.

Par abus de langage, on parle d’une clé d’accès, mais chacune est en fait constituée de deux clés. La première, publique, est stockée par le service sur lequel on souhaite s’identifier. L’autre, privée, réside dans une zone sécurisée du téléphone (Secure Enclave pour les iPhone/iPad par exemple et équivalents). L’accès à la clé privée n’est pas automatique : quand un site veut s’en servir, une demande apparaît à l’écran. La validation se fait par la biométrie, un code PIN ou autre. Précision importante : bien que liées, les clés ne peuvent pas être utilisées séparément pour trouver l’autre.

Si la demande est validée, un jeton de sécurité est envoyé depuis l’appareil pour être mis en contact avec la clé publique. La mise en relation des deux valide l’authentification au service. De fait, une fois créée et stockée dans sa zone sécurisée, la clé privée n’en sort jamais, ses accès étant validés par le navigateur ou le système d’exploitation.

Si les clés d’accès représentent un « nouveau » mécanisme, leurs concepteurs n’ont pas réinventé la roue. Elles sont en effet basées sur l’API Web Authentication (ou WebAuthn), une recommandation du W3C (World Wide Web Consortium). C’est bien la mise en pratique de ce mécanisme qui représente une évolution, de même que sa prise en charge dans un nombre croissant de produits, à commencer par ceux des grandes entreprises de la tech.

D’accord, mais dans quel but ?

Le but « ultime » des passkeys est de se débarrasser des mots de passe. Actuellement, tous les sites et services les prenant en charge fonctionnent sur la base d’un identifiant et d’un mot de passe pour l’authentification. Dans les options, on peut demander à créer une clé. Celle-ci, une fois stockée, pourra être utilisée pour toutes les connexions ultérieures. Le mot de passe n’est plus demandé.

C’est bien sûr un grand pas en matière d’expérience utilisateur. Le site ou l’application qui vous demande de vous identifier interroge le navigateur ou le système d’exploitation (selon le contexte), qui génère alors une demande d’accès à la clé. Une fois validée (le plus souvent par biométrie), la clé déverrouille l’accès au service. Du point de vue de l’utilisateur, il n’a fallu qu’une étape : valider l’opération par une empreinte ou un scan de son visage.

Il est important de noter qu’un site, un service ou une application va créer une clé d’accès pour chaque appareil qui y accède. Si vous activez par exemple une clé d’accès sur Amazon (compatible) depuis un smartphone, il faudra faire de même depuis chaque appareil utilisé pour accéder ensuite au service. Une clé d’accès est unique et générée pour l’appareil en cours d’utilisation.

Comme nous le verrons dans un prochain article sur l’utilisation pratique des clés d’accès, les gestionnaires de mots de passe ont une importante carte à jouer.

Et c’est vraiment plus sécurisé qu’un mot de passe ?

Comment un mécanisme apportant une simplification pourrait-il être à la fois plus sécurisé ? La question est légitime, car sécurité et simplicité d’usage vont rarement de pair. C’est cependant le cas. Ce qui devrait d’ailleurs montrer à quel point le mot de passe est une protection dépassée.

Il y a principalement deux aspects expliquant l’intérêt des clés d’accès. D’une part, elles ne peuvent pas être volées. Un sérieux avantage face aux grandes campagnes d’hameçonnage. Le vol de l’appareil stockant les clés privées ne peut théoriquement pas ouvrir non plus l’accès aux services ainsi protégés. Le mécanisme est protégé par la biométrie, même si celle-ci ne constitue pas une défense absolue. En revanche, si l’appareil n’a pas de biométrie et que la méthode passe par une information à retenir (comme le code PIN), le danger est plus grand.

D’autre part, les clés d’accès ne sont pas sensibles aux attaques par force brute. Le mécanisme d’authentification est différent de celui des mots de passe et passe par un canal dédié.

Des problèmes d’ordre pratique

Les avantages des clés d’accès sont évidents. Elles ne peuvent être ni devinées, ni volées. Les utilisateurs n’ont pas besoin de les retenir et leur validation demande – idéalement – une empreinte digitale ou le scan du visage.

Les problèmes que posent les passkeys sont d’ordre pratique. Dans un prochain article, nous nous pencherons sur leur activation, leur utilisation et ce qui se passe dans certains cas, comme l’utilisation de plusieurs appareils, systèmes et navigateurs, l’utilisation de gestionnaires de mots de passe ou encore la perte du smartphone.

Les clés d’accès rendent en effet le téléphone essentiel dans la chaine de sécurisation. Cette crainte était exprimée initialement. Cependant, le téléphone est déjà impliqué dans la chaine d’authentification pour de nombreux services. Il est en effet, dans l’immense majorité des cas, le second facteur.

Par exemple, quand on se connecte pour la première fois sur un site depuis un appareil et qu’un code à six chiffres est réclamé. Il va être reçu par SMS, via l’application mobile du service, ou à récupérer depuis une application compatible OTP (de type Authenticator). Quand vous validez un achat sur internet, il y a de bonnes chances pour que vous voyiez apparaitre une notification de votre application bancaire.

La bascule prendra du temps

Si les clés d’accès représentent un bond en termes de facilité et de sécurité, elles ne sont pour l’instant qu’une solution « en plus ». Bien que l’on puisse en effet les activer chez Apple, Google, Microsoft ou encore Amazon, NVIDIA, X ou même Onlyfans (oui !), elles ne remplacent les mots de passe qu’après la création du compte, à l’utilisation.

Autrement dit, les mots de passe eux-mêmes existent toujours et leur création exigera encore pour longtemps une attention toute particulière. Certes, l’activation des clés d’accès exige du service concerné qu’il bascule sur cette méthode et ne demande plus le mot de passe. Mais puisqu’il existe des moyen de récupération (ne serait-ce qu’en cas de perte du téléphone), le mot de passe sert souvent d’ultime moyen pour retrouver l’accès à son compte.

Il faudra du temps pour généraliser l’usage des clés d’accès. Les systèmes d’exploitation et navigateurs sont compatibles depuis un moment maintenant. La liste des services prenant en charge les passkeys ne cesse de s’allonger. Mais il faut encore que les procédures soient suffisamment simples et accueillantes pour changer les habitudes.

Commentaires (50)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Actuellement, on considère qu’un mot de passe est fort s’il contient au moins douze caractères mélangeant des majuscules, minuscules, chiffres et caractères spéciaux. Il ne doit incorporer aucune information évidente, comme un prénom, une date de naissance, le nom d’un animal domestique, etc.
Les banques qui imposent 8 (Boursorama) voire 6 chiffres (Crédit agricole) sont donc considérées comme non sécurisées ?
J'ai toujours trouvé idiot de limiter les caractères disponibles à des chiffres. Cela incite à mettre une date de naissance (de enfants, du mariage, etc.) ce qui est assez simple à deviner.
votre avatar
dans ce cas, il faut souvent passer par une application dédié et le nombre de tentative est très limité avant un blocage permanent. enfin j'espère.
votre avatar
En général, les banques interdisent les combinaisons "simples" comme la date de naissance de l'utilisateur. Pour les autres dates, tout dépend de combien tu as d'enfants, combien de fois tu t'es marié, etc. Donc laquelle le pirate doit-il prendre ?

Trêve de plaisanterie, la sécurité dans les banques ne repose pas que sur un code à 6 chiffres, et en général 3 ou 4 tentatives infructueuses bloquent l'accès au compte toute une journée. Ca réduit pas mal le risque de brute force et le risque d'être "deviné". On peut aussi regarder les heures habituelles de connexion, la localisation (probable) avec l'adresse IP, le comportement sur l'interface et plein d'autres mesures pour évaluer le risque...

Car je le répèterai longtemps : dire qu'un système est sécurisé n'a pas de sens, en général. En réalité, on gère un risque (ou des risques). D'ailleurs, si Seb me lit, j'ai fait un petit article sur ce sujet. Ainsi, pour la consultation des comptes, on tolère un code "simple" mais pour des opérations sensibles, on impose un second facteur (SMS, application mobile "scellée" au smartphone, passkey...).

Pour revenir sur l'histoire du code à 6 chiffres, le risque le plus important pour une banque est généralement le phishing. Or dans une telle attaque, l'utilisateur donne tous ses identifiants, qu'ils soient courts ou long. Que le mot de passe soit simple ou complexe ne change rien au problème. C'est d'ailleurs un des grands intérêts des passkeys : donner la possibilité de réaliser "facilement" une authentification à deux facteurs, où la connaissance du code ne suffit pas à la connexion.

Petite histoire du mot de passe
votre avatar
Même en se mariant 4 fois et en ayant 15 endants, toutes les combinaisons représentent à la grosse louche une trentaine de mots de passe. Je trouve pas ça fou comme sécurité.
votre avatar
Je répète : ça n'est qu'une mesure parmi d'autres, et aujourd'hui c'est rare qu'un attaquant épluche les réseaux sociaux juste pour ton compte bancaire. Le menace vient plutôt des keyloggers/troyens, du phishing, etc.
votre avatar
À la Banque Postale, l'interface d'entrée du mdp est une grille ou ces chiffres sont dans un ordre aléatoire à chaque connexion, qu'il faut entrer au clic souris (ou au doigt sur ordiphone). Je pense que le but est d'esquiver les keyloggers et mouseloggers.
votre avatar
Exactement : ça évite les keyloggers, mais pas le phishing. La meilleure arme contre le phishing est le second facteur.
votre avatar
Ça évite rien du tout.
Le keylogger que j'utilisais pour avoir plus de crédits d'impression au CDI de mon lycée en 1999 était capable d'envoyer des captures d'écran à chaque clic de souris.
Les claviers aléatoires n'ont aucun argument solide. Ils évitent à la limite l'espionnage par écoute des entrées clavier, mais le modèle de ce genre de menace est très limitée.
votre avatar
Tu as raison, ça n'évite pas mais ça diminue le risque. Et encore une fois ça n'est qu'une mesure parmi de nombreuses autres.
votre avatar
Une des plus chiantes, soit dit en passant. C'est surtout l'utilisateur (sur PC notamment, sans écran tactile) qui est emmerdé, parce que obligé d'aller clicker à la souris 1 à 1 des chiffres dans une grille au lieu de simplement pouvoir taper rapidement au clavier ledit code au clavier (numérique pour les cas rencontrés AXA/Crédit Agricole).
votre avatar
Le but de ces interfaces, c'est que si tu fais ça sur le PC au milieu du salon, d'un coup toute la maisonnée connaît ton mot de passe. C'est pratique pour le partage.
Alors que si tu peux utiliser le pavé numérique, c'est beaucoup trop discret, ce n'est plus du partage, limite égoïste.
votre avatar
Je préfère les mots de passe à l'augmentation de ma dépendance au smartphone. Le moins je m'en sers, le mieux je me porte.

S'il y a un piratage d'un service, je n'ai qu'à le remplacer en une minute, et s'il faut vraiment augmenter la sécurité alors j'ai un plugin TOTP pour Keepass.

Je crains le jour où les mots de passe ne seront plus possibles car c'est niet pour moi.
votre avatar
Microsoft va rendre obligatoire l'authentification double facteur. J'ai donc utilisé Keepass+OTP et ça fonctionne très bien !
votre avatar
Les passkeys sont aussi disponibles dans les gestionnaires de MDP (Bitwarden, Proton Pass, ...) ou alors il y a la possibilité d'utiliser des clés physiques compatibles FIDO.
votre avatar
Je préfère les mots de passe à l'augmentation de ma dépendance au smartphone. Le moins je m'en sers, le mieux je me porte.
Pareil. J'utilise déjà mon ordiphone pour s'authentifier en OTP, j'ai peur d'un raté dans mes backups le jour où le paume ou qu'il décède. Mais en faire l'unique point d'accès à tous mes comptes, je trouve que ça revient à mettre tous ses œufs dans le même coffre-fort : 'faut pas perdre le coffre-fort ! Et si les tentatives de récupération sont faciles, alors la vulnérabilité sera dans la récupération ...

Bref, j'attends de voir le prochain article de Next, mais pour l'instant j'ai du mal à voir comment résoudre ces questions d'ordre pratique justement.
votre avatar
Pour information KeepassXC gère les passkeys (Bitwarden également, 1Password aussi etc.). Il n'est pas indispensable d'avoir un smartphone pour utiliser les passkeys. D'ailleurs si j'ai activé les passkeys sur tous les services qui proposaient l'option, elles sont générées et gérées par mon gestionnaire de mot de passe et jamais par mon smartphone.
votre avatar
Personnellement, je fais plus confiance à un dispositif dédié type Clé USB d'authentification comme la Nitrokey que le système de passkeys qui me semble un cheval de troie pour rattacher sa vie numérique à Apple, Google ou Microsoft.
J'ai du mal avec l'idée que le téléphone soit une clé de sécurité fiable, il me semble qu'il y a trop de briques technologiques divers et variété dans un téléphone pour garantir une sécurité.
votre avatar
Je suis d'accord avec toi. J'avais les Yubikey en tête personnellement.
votre avatar
Alors vivement le prochain épisode de la série où il sera question des gestionnaires de mots de passe
votre avatar
Ah, la biométrie qui sert à authentifier alors que ça ne devrait être qu'une identification !

Quand on vérifie l'identité d'un individu que l'on a devant soi, les empreintes digitales sont fiables, oui, parce que l'on voit que ce sont bien ses doigts qui sont scannés. Par contre, si un système électronique vérifie que l'empreinte digitale (ou ce qu'on lui fait croire être une empreinte digitale) est la bonne, rien n'assure justement que ça soit une vraie empreinte digitale qu'il a lue. Donc, on ne doit pas s'appuyer sur cela pour authentifier quelqu'un.
L'usage de fausses empreintes a déjà démontré que l'on pouvait tromper un système d'authentification par empreinte digitale. Voir ici, ou aussi ici.
votre avatar
Oui, même si l'idée, c'est que c'est en soi du 2FA : il faut à la fois l'appareil qui stocke la passkey, et l'empreinte biométrique.

Mais je n'aime pas non plus cette approche, qui me semble beaucoup trop rassurer sur l'usage de la biométrie comme moyen d'authentification. Je ne pense pas que la plupart des gens comprendront que la fiabilité repose sur la combinatoire de la possession de l'appareil et de l'empreinte.

Et encore, même ça, ça se discute, vu qu'un appareil de ce type contient souvent les empreinte des gens un peu partout sur leur boîtier :)
votre avatar
C'est bien vrai que l'inconvénient des passkeys c'est de déplacer la complexité de la mémorisation des mots de passe vers d'un coté une autorité plus centrale (l'éditeur de ton appareil), et de l'autre s'appuyer sur un caractère identifiant de l'utilisateur (la biométrie)

On pourrait surement imaginer s'appuyer sur autre chose, par exemple un master password, un lieu, un trait biométrique, un style d'écriture ou de dessin, une combinaison de tout ça
votre avatar
Perso, ça ne changera pas ma gestion à base de keypassXC + yubikey, et yubikey en OTP/U2F.

Mes yubikey permettraient l'authent par passkey mais je n'en vois pas l'intérêt non plus. Ce serait une baisse importante de ma sécurité (ce que je possède devient un accès à part entière, limité par un PIN ... Lol).

Les passkey sont plus costauds que des mdp et je les utiliserai donc à terme pour cela. Mais les clés privées seront stockés dans mon keypass et le 2FA sera bien évidemment activé aussi sur ces services comme partout où je peux le faire.

Bref, dans mon cas (un utilisateur avancé), les passkeys ne changeront pas mon quotidien et ne révolutionnent rien, elles permettront juste de renforcer encore un peu plus la sécurité des comptes sur lesquels on pourra les utiliser.
votre avatar
Je trouve certaines choses très "limite" avec les passkeys. Prenons l'exemple de Bitwarden.

Partons du principe que l'extension de bitwarden est ouverte sur firefox. Si je me log sur boursobank avec ma passkey, je n'ai qu'à cliquer sur le jeton proposé spontanément par Bitwarden et... c'est tout. Alors dans ce cas c'est quelque chose que j'ai et... c'est tout. A mes yeux c'est du single factor. Pour moi Bitwarden ne respecte pas le cahier des charges et devrait --imposer-- un PIN systématique ou quelque chose dans le genre.

Autre chose, si je lance un exécutable malicieux sur ma machine, il pourra récupérer les passkeys sans problème avec une session ouverte de bitwarden, ce qui n'est pas le cas si la passkey est stockée sur yubikey par exemple. Là encore, Bitwarden devrait imposer un PIN ou autre pour accéder à la passkey.

Bref, quand je vois ça me je me dis qu'il y a un soucis quelque part, je reste sur password+MFA et yubikey de mon côté.
votre avatar
Yes !
J’utilise un combo bitwarden + Authy sur deux devices différents précisément pour cette raison.
votre avatar
Le soucis, ce sont les personnes. La plupart des gens ne comprennent pas pourquoi on leur impose du 2FA. Donc pour eux, c'est une contrainte. Bitwarden amène une solution pour gommer au maximum le 2FA, avec la contrepartie que ça redevient du "1,5FA".

Leur solution protégera contre quelqu'un qui aura deviné le mot de passe, mais pas contre un malware qui pourra récupérer les 2 facteurs en même temps.

Je suis de ton avis avec la Yubikey. L'un des deux facteurs doit avoir la clé privée, non exportable, dans un périphérique externe.
votre avatar
Une fois que tu as compris que la passkey est une alternative au mot de passe et non pas au MFA, je ne vois pas où est le pb avec bitwarden par contre 🤔
votre avatar
Bah la question, c'est de savoir où se trouve la clé privée. Et vu que bitwarden est capable de la synchroniser, c'est qu'elle est exportable une fois le wallet déverrouillé. Donc récupérable par un malware.

Les passkey ne sont même pas démocratisées que déjà des logiciels proposent de contourner le principe.

Il n'y a pas a pas 10000 solutions. Pour avoir un truc sécurisé, la clé privée doit être dans un hsm (hardware security module) dont la clé privée n'est pas exportable. Microsoft Hello pourquoi pas, mais le mieux étant un périphérique externe comme une Yubiney (en 2FA ou passkey, ça ne change rien).
votre avatar

"Les passkey ne sont même pas démocratisées que déjà des logiciels proposent de contourner le principe."

C'est la même chose pour les OTP, c'est une aberration pour moi de les mettre dans ton gestionnaire de mot de passe, c'est un non-sens en terme de sécurité. Mais c'est une fonctionnalité qui peut être pratique en fonction du degrés de sécurité souhaité par l'utilisateur aussi.

Par contre est-ce que les gens stockent leurs OTP sur leur gestionnaire en toute connaissance de cause, ça c'est un autre débat 🙄
votre avatar
Je trouve certaines choses très "limite" avec les passkeys. Prenons l'exemple de Bitwarden.
Sauf erreur de ma part, il y a une option pour forcer la ressaisie du mot de passe maître pour atteindre les informations d’un identifiant. De plus le temps de verrouillage de la session est paramétrable (elle peut se refermer immédiatement).

Le code OTP via le coffre fort numérique c’est un confort. Tout comme l’authentification biométrique. C’est comme tout : les moyens de sécurisation d’accès doivent être adaptés au risque. Et la plupart du temps la contrainte est proportionnelle au degré de sécurisation.

Par exemple, je ne mets au coffre à la banque que ce que j’estime le mériter. Parce que ça a un coût mais aussi parce que ce n’est pas pratique d’y mettre des éléments dont j’ai une utilisation régulière. Je peux avoir un coffre à la maison pour les choses moins précieuses ou qui doivent rester plus accessibles. Et après c’est la serrure de la porte d’entrée pour le reste.

Bref vous voyez le topo.

Le code OTP dans Bitwarden ça reste un niveau de protection supplémentaire mais qu’on n’utilisera pas forcément pour les éléments pour lesquels on veut un max de protection.
votre avatar
Perso j'ai eu un soucis avec "la dépendance au mobile "
Le smartphone de ma fille a grillé..
On a voulu basculer son compte Gmail sur un autre et la cata.. impossible de passer le mfa
Google à grisé l'usage du SMS..
Il proposait le concept de clé mais si ton tel est cassé ou perdu bein c compliqué..
Heureusement depuis son pc synchronisé avec Google j'ai pu désactiver le mfa pour refaire une authent sur le tel de secours..
Bon j'en ai profité pour activer un authenticator sur mon tel au cas où..
Bref tout ça pour dire que ça peut vite devenir galère
J'ose imaginer que des gens plus intelligent que moi on réfléchit à ces cas, mais j'ai trouvé la démarche complexe (sécurité vs simplicité) et pas forcément accessible à tout le monde
votre avatar
Je dois dire que j'ai failli être emmerdé comme ça avec mon ancien smartphone fana des reset usine tous les 4 matin. Si le compte n'avait pas été connecté à l'émulateur me servant à jouer aux jeux android sur PC, j'aurais pas pu valider la double authent.

Ce genre de système ne semble avoir été réfléchi que par des personnes croyant qu'on a 15 appareils de secours.
votre avatar
Jamais testé mais le mfa googleauth garde en mémoire tous les comptes si on change de tel ?

Perso j'utilise andotp et je fait un backup chiffré régulièrement au cas où mon tél plante
votre avatar
Non là c'est le MFA du compte Google en lui-même.
Je ne parlais pas de leur appli TOTP Google authenticator (et oui, depuis peu, cette appli a une synchro en ligne optionnelle... Un choix discutable mais que perso j'ai fini par activer à contrecoeur voyant l'instabilité de mon ancien smartphone. J'ai même été au point d'activer la backup d'Android...).
Quand tu le connectes, il notifie pour une authent. Mais si t'as qu'un seul appareil android, bah c'est la merde.

Je n'ai pas souvenir d'une procédure type "bris de glace" avec des codes de récupération comme sur les autres services proposant du MFA.
votre avatar
Pour ma part je trouve de toute façon qu'en MFA les procédures de récupération la plupart du temps sont les parents pauvres, qui ne sont au mieux pas expliquées (donc non anticipées par les utilisateurs non avertis), au pire pas présentes. Souvent on se contente de se dire que le client bloqué appellera le service client et qu'on improvisera à ce moment-là sur comment faire, ou qu'on l'enverra juste chier en lui disant de se recréer un nouveau compte vide.

C'est franchement pas rassurant et mauvais pour l'image du MFA, parce que finalement, comme pour les passkeys ici (même si j'attends les articles suivants), il n'y a pas de solution simple, universelle, rapide, compréhensibles par n'importe qui, au problème "mon téléphone est cassé/oublié/perdu", où la plupart des gens vont juste galérer pendant des jours voire ne jamais retrouver leur accès.
votre avatar
C'est un vrai soucis avec les solutions propriétaires (comme l'invit' de validation depuis un smartphone Android pour se connecter à Google). Avec un bon gestionnaire OTP il est possible de réaliser des sauvegardes (chiffrées). Avec une Yubikey (ou équivalent).... il en faut au moins une deuxième. Avec un gestionnaire de mot de passe prenant en charge les passkeys (ou un OTP d'ailleurs) cela simplifie les choses.
votre avatar
L'article parle de l'empreinte digitale. C'est un raccourci pour illustrer le besoin d'une validation corporelle, ou c'est vraiment l'empreinte (et non le fait de simplement toucher) l'appareil ?

J'ai encore du mal avec la biométrie, je n'aime pas utiliser un élément corporel pour la sécurité, car s'il y a un problème on n'a pas d'alternative (on peut toujours utiliser un autre doigt, ou oeil, mais personnellement mon nombre est limité).

C'est peut-être irrationnel comme crainte. Encore plus quand je vois l'engouement des gens à utiliser ce système, surtout des gens qui n'ont pas de notions de base de sécurité, je trouve que c'est plus un effet waouh liée à la nouveauté et l'effet de mode, qu'une véritable solution sécurisée (un peu comme le paiement sans contact).
votre avatar
Les méthodes, correctement implémentée, qui utilisent la biométrie n'exportent pas l'image. Par exemple, sur un iPhone, l'empreinte biométrique est comparé en local par le co-processeur de la secure enclave avec l'image stockée dans celui-ci. Si la biométrie est validé, alors la clé privée est utilisée pour prouver l'identité.

La secure enclave est capable d'enregistrer une nouvelle image ou dire si une image qu'on lui fourni est valide ou non. Mais il n'est pas possible de lui demander de fournir l'image stockée précédemment.
La secure enclave est un système à part entière, c'est un SoC dédié avec ses mémoires volatile et non volatile dédiées. Autrement dit, l'image de ton factor biométrique n'est pas un fichier que l'on peut voler.
votre avatar
Les passkeys sont très similaires aux clés de sécurité FIDO2 (Yubikey, Nitrokey ...) dans leur fonctionnement : il s'agit de stocker une clé cryptographique dans la zone sécurisée d'un équipement tiers, avec une vérification de l'utilisateur pour déverrouiller l'accès (PIN pour FIDO2, biométrie ou autre pour les passkeys - pour répondre à Jarodd, il s'agit bien de biométrie (mais ça pourrait être un code PIN ou autre - le standard n'impose pas la biométrie), la présence utilisateur uniquement c'était avec FIDO U2F).

Avec FIDO2 et les passkeys il est possible de faire du passwordless et du MFA. Le protocole webauthn utilisé dans les 2 cas supporte aussi le loginless via les discoverable credentials.

De mon point de vue (discutable bien entendu), les passkeys sont simplement une entente entre éditeurs pour reprendre un standard existant et le rendre plus pratique pour les utilisateurs, avec des concessions sur la vie privée et la sécurité. Il y a quelques années il y avait des promesses de compatibilité entre écosystèmes (Google, Apple, Microsoft) pour pouvoir transférer des clés, mais je ne retrouve pas d'article sur le sujet. Aujourd'hui ce n'est pas terrible :
- Il n'y a pas (encore ?) de "transférabilité"
- Il y a des sauvegardes automatiques chez certains éditeurs : les clés créées sur Android et iPhone sont envoyées chez Google/Apple.
- Les passkeys ne sont pas encore compatibles Linux, bien que des réflexions et travaux soient en cours. Je parle bien ici de la partie logicielle de l'OS pour l'authentification locale + utilisation d'un TPM : il est tout à fait possible d'utiliser actuellement une Yubikey/Nitrokey avec Firefox pour créer des passkeys sur des sites web.

Désolé pour la longueur mais il me paraissait important d'apporter ces précisions de contexte.
En espérant ne pas trop "spoiler" sur le prochaine article de Vincent !
votre avatar
Pour moi, il ne faut justement pas qu'il y ai de "transferabilité" possible. Si c'est possible, alors un malware la récupérera, ou l'utilisateur la donnera de lui même suite à un session de social engineering bien menée.

A mon avis, même si les passkey essayent de simplifier le process en améliorant la sécurité. A la fin, il n'y a pas de secret, l'utilisateur doit comprendre ce qu'il fait et comment ça fonctionne pour atteindre un niveau de sécurité sans compromis (autre que le pistolet sur la tempe) en terme de sécurité et de vie privée.

Le meilleur moyen de récupération en cas de perte de sa Yubikey et d'en enregistrer 2 à chaque fois, une principale et une de backup.
votre avatar
Donc d’en acheter deux. Le coût est prohibitif pour beaucoup..
votre avatar
Je suis d'accord. Et c'est surtout contraignant puisqu'il faut toujours avoir les 2 Yubikey (ou autre) lors de la création d'un compte. Et il faut évidement que le site accepte plusieurs passkey ou matos compatible Fido2.

Mais l'exemple que je donnais, comme je l'ai dit, c'est pour avoir une solution sans compromis. Autrement, tu dois forcément faire confiance à un tiers, ou abaisser le niveau de sécurité (ce qui revient un peu au même).
.
votre avatar
"Certes, l’activation des clés d’accès exige du service concerné qu’il bascule sur cette méthode et ne demande plus le mot de passe."
Pourtant sur GMail, malgré l'activation d'une passkey, c'est par défaut l'identification par mot de passe qui est proposée (une fois arrivé au champ de saisie du mot de passe, il me faut cliquer sur "choisir une autre méthode" puis "passkey"). Peut-être perce que je passe par un gestionnaire de mots de passe et non un smartphone ?

Parmi tous les services sur lesquels j'ai pu activer les passkeys (très peu en réalité, si l'on excepte là où les passkeys remplacent... les Yubikeys en 2FA) , je n'en vois qu'un qui fonctionne conformément à ce qui est décrit : la communauté /e/OS
votre avatar
merci pour ce super article. J'ai une série de question du coup relative à tout ça :
- la premiere mieux vaut-il un passkey hardware type fido ?
- est-ce judficieux d'utiliser un software tpe keepass ou autre pour le stocker à coté de son mot de passe
- même question avec le 2FA/ passkey au même endroit
votre avatar
Le p^roblème avec les passkeys est que ça revient à donner les clefs à un prestataire, qui donnera l'accès quand on lui demandera. Personnellement j'ai un confiance ultra limitée dans mon téléphone.

Par ailleurs TOUT mettre sur le même appareil laisse présager des catastrophes...
On se fait bousculer en rentrant dans le métro le téléphone tombe, on perd ses accès aux sites web, ses papiers, sa carte vitale, l'accès à sa banque en ligne, l'accès à sa voiture, voire même l'accès à son domicile...

Prendre plusieurs téléphobnes ? Sachant que toutes ces applications réclament (sans le dire explicitement d'ailleurs) des versions très récentes avec du matériel assez costaud, ça va vite revenir cher.
votre avatar
un petit tour chez Neowave.fr et une petite commande de clés (moins cher que yubico et compagnie) en plus c'est français fabriqué chez nous cocorico. Plus aucun problème de mots de passe... ils ont toutes les certifications (je parle à titre pro le perso on s'en moque un peu à vrai dire qu'ils soient certifié anssi ou pas) la boite nous en a acheté, dongle usb, carte NFC et lecteur et à titre perso on a acheté chacun la notre on est ravi (je précise je ne suis pas actionnaire :mdr:). On a participé à la consultation publique de la CNIL j'espère que ça va servir.
votre avatar
Si les sites restent accessibles avec l'identifiant / mot de passe, la clé d'accès n'ajoute aucune sécurité supplémentaire : c'est toujours le maillon faible qui risque de sauter.

Même remarque pour la biométrie : un scan d'empreinte sur tel ne sécurise pas plus le téléphone, il reste toujours accessible via le mot de passe / code pin / schéma.

D'un point de vue mathématique, ces méthodes supplémentaires ne font en fait que baisser la sécurité : c'est un vecteur supplémentaire d'attaque.
votre avatar
Je dirais oui et non.
Ce qui me vient en tête tout de suite c'est l'utilisation du mobile en transport en commun, bureau ou lieu public.
Avant quand la biométrie n'existait pas tu tapé ton mot de passe/schéma qui pouvait être assez facilement repéré et donc on pouvait regarder par dessus ton épaule et voir ton code de déverrouillage. Aujourd'hui avec la biométrie tu déverrouille ton appareil rapidement et personne ne peut intercepter ton mot de passe (même si là aussi ça peut poser d'autre problème, si blocage uniquement par la biométrie).
Pour moi, moins tu tapes ton mot de passe, moins tu as de chance qu'il soit intercepté.

Après il faut trouver le bon équilibre entre praticité et sécurité et il n'y a pas de solution miracle, mais il peut y a voir un mix des solutions et différentes solutions pour une même personne suivant le niveau de sécurité souhaité pour un élément donné.
votre avatar
un avantage non cité des clés d'accès est le fait qu'elles sont insensibles aux attaques par interception (Mim). Elle sont associées à un site WeB unique ce qui protège du hameçonnage.
votre avatar
Alors personnellement, je suis à 80-90% de mon temps en remote (vnc)
Rarement depuis mon tel (urgence urgence..)
Souvent depuis un linux mais pas le mien ou pas les droits

Ayant été sans poste fixe durant pfiou (j ai même mis un rpi4 tt un temps... Cest dire)

Si on est nomade... Et mon tel est un écran pour du call/text/ssh/vnc : no more

On fait quoi !?

Perso je resterai en mode remote + vaultwarden(selfhosted) + OTP(ailleurs) + Yubikey quand c est possible
=>yubikey nfc/usb-c dans les cas d urgence via tel...
(Qd le service d auth otp est mort...)

Vnc + fido2 ?
Rdp + fido2 ?
=>faisabilité
==> en terme de secu ?

Bref,
Moins le tel peut tt faire et mieux je me porte
No data/no secu et le peut qu il a est unique et filtré :
=> clé ssh avec un user défini sur le bastion via vpn only : si tel volé : faut le pwd de la clé, du vpn le user (no history) et l ip...
Moi : del user/key/access vpn + renew sur new tel

Et une passkey, je l intègre ou ? :)

Clés d’accès (passkeys) : leur importance et leur fonctionnement

  • Les gestionnaires de mots de passe, une avancée…

  • … mais une mesure minimale désormais

  • Les clés d’accès, nées d’un besoin

  • Qu’est-ce qu’une clé d’accès ?

  • D’accord, mais dans quel but ?

  • Et c’est vraiment plus sécurisé qu’un mot de passe ?

  • Des problèmes d’ordre pratique

  • La bascule prendra du temps

Fermer