L’Alliance FIDO vient de publier les spécifications pour un nouveau protocole et un nouveau format. Objectif, proposer un échange sécurisé de clés d’accès (passkeys) entre deux fournisseurs. Avec cette proposition, l’Alliance s'attelle au problème principal dans l’utilisation des clés d’accès aujourd’hui : la transportabilité entre plusieurs environnements.

Les clés d’accès sont largement poussées en avant par l’Alliance FIDO, et surtout le soutien très actif de trois grandes entreprises américaines : Apple, Google et Microsoft. Elles sont proposées comme alternative bénéfique aux mots de passe. La gestion de ces derniers peut s’avérer en effet complexe quand on suit toutes les recommandations : des mots uniques, longs et aléatoires pour tous les services, ou des phrases de passe (qui elles non plus ne doivent jamais être réutilisées).

Pratiques ? Pas toujours

Les gestionnaires de mots de passe (1Password, BitWarden, Dashlane, LastPass, Proton Pass…) cassent en grande partie cette complexité. Ils génèrent les mots de passe aléatoires selon plusieurs critères, les enregistrent et les redonnent en cas de besoin. Plus besoin de retenir quoi que ce soit, à l’exception de celui créé pour protéger le compte (et qu’il ne faut pas perdre, sous peine de perdre toutes ses données). L’ajout d’un second facteur d’authentification est hautement recommandé.

Cela ne règle pas tous les problèmes cependant. Les mots de passe peuvent faire l’objet de fuites ou être obtenus par phishing. En 2022, Microsoft avait notamment expliqué comment une campagne très élaborée permettait de récupérer à la fois le mot de passe des utilisateurs et le second facteur d’authentification. Les facteurs multiples ne sont pas une protection absolue, mais ils permettent de casser de nombreuses tentatives.

Les clés d’accès, chiffrées, sont en théorie imperméables à ce genre d’attaque. Pas besoin non plus de les retenir. Nous avons consacré un article à leur fonctionnement. D’un point de vue pratique cependant, elles font face à un problème : une fois qu’elles sont sauvegardées chez un éditeur, comment les réutiliser ailleurs ?

• Clés d’accès (passkeys) : leur importance et leur fonctionnement

La solution de l’Alliance FIDO

L’Alliance vient donc de proposer des versions préliminaires de deux nouvelles spécifications. Elles doivent permettre l’échange sécurisé des identifiants d’un fournisseur à un autre. L’un des objectifs est de préserver le chiffrement des données tout au long de la chaine, pour ne pas risquer de fuite. 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta, Samsung et SK Telecom ont participé à leur élaboration.

La première spécification est nommée Credential Exchange Protocol (CXP), dont le nom annonce clairement la couleur : un protocole pour l’échange sécurisé des identifiants. La deuxième, nommée Credentiel Exchange Format (CXF), définit simplement le format que les données doivent adopter pour être traitées par un gestionnaire d’informations d’identification.

À la lecture du descriptif, on se rend compte que l’Alliance FIDO ne parle pas directement des clés d’accès. C’est parce que CXP et CXF sont conçues pour l’ensemble des identifiants, dont les mots/phrases de passe et les clés d’accès. Dans le cas des premiers, cela signifie une modification à venir dans les gestionnaires de mots de passe pour la fonction Exporter, qui ne devrait plus s’appuyer sur un simple fichier CSV en clair.

Les spécifications sont présentes sur le dépôt GitHub de l’Alliance FIDO. Maintenant que les versions préliminaires sont disponibles, l’association cherche à collecter des retours.

La galère des vases clos

Actuellement, que ce soit pour les gestionnaires de mots de passe ou les clés, les solutions sont imparfaites. Tous les gestionnaires proposent une fonction d’import/export, cruciale. Mais, comme on vient de le dire, cela nécessite de récolter toutes les informations normalement chiffrées pour les mettre en clair dans un fichier. On donne ensuite ce dernier au gestionnaire pour qu’il y récupère ses données. La chaine de sécurité est passée et il faut se montrer très prudent avec ce type de fichier.

Pour les clés d’accès, le problème est autre. Que l’on soit sur des produits Apple, Google ou Microsoft, chaque éditeur possède maintenant des moyens simples de stocker les clés d’accès créées. C’est du moins simple tant que l’on ne sort pas de l’environnement.

On peut voir une illustration du sujet dans une configuration classique : un PC sous Windows et un iPhone. La création des clés d’accès sur iPhone est simplifiée par iOS, qui va les enregistrer dans le Trousseau du système. Mais une fois de retour sur Windows, comment accède-t-on à ces clés ? Apple a donc mis à jour son iCloud pour le système de Microsoft, afin que les informations puissent être récupérées.

On est loin actuellement d’une situation idéale. Il n’existe pas de procédure commune ni standardisée pour passer d’un environnement à l’autre. Si votre environnement personnel ou de travail est hétérogène, la solution la plus simple reste encore un gestionnaire tiers de mots de passe. Tous les principaux sont compatibles avec les clés d’accès.

Cependant, la promesse des clés d’accès est de pouvoir s’authentifier sans trop y penser, l’accès à une clé étant protégé par la biométrie sur les appareils mobiles. Il est difficile de recommander un gestionnaire de mots de passe à tout le monde, car la mise en place est souvent perçue comme rébarbative.

On s’étonne cependant du temps qu’il aura fallu à l’Alliance pour proposer une solution à un problème connu depuis le départ.