Connexion
Abonnez-vous

Clés d’accès : l’Alliance FIDO propose un nouveau standard pour l’échange sécurisé d’identifiants

Maux de passe

Clés d’accès : l’Alliance FIDO propose un nouveau standard pour l’échange sécurisé d’identifiants

L’Alliance FIDO vient de publier les spécifications pour un nouveau protocole et un nouveau format. Objectif, proposer un échange sécurisé de clés d’accès (passkeys) entre deux fournisseurs. Avec cette proposition, l’Alliance s'attelle au problème principal dans l’utilisation des clés d’accès aujourd’hui : la transportabilité entre plusieurs environnements.

Le 15 octobre à 12h00

Les clés d’accès sont largement poussées en avant par l’Alliance FIDO, et surtout le soutien très actif de trois grandes entreprises américaines : Apple, Google et Microsoft. Elles sont proposées comme alternative bénéfique aux mots de passe. La gestion de ces derniers peut s’avérer en effet complexe quand on suit toutes les recommandations : des mots uniques, longs et aléatoires pour tous les services, ou des phrases de passe (qui elles non plus ne doivent jamais être réutilisées).

Pratiques ? Pas toujours

Les gestionnaires de mots de passe (1Password, BitWarden, Dashlane, LastPass, Proton Pass…) cassent en grande partie cette complexité. Ils génèrent les mots de passe aléatoires selon plusieurs critères, les enregistrent et les redonnent en cas de besoin. Plus besoin de retenir quoi que ce soit, à l’exception de celui créé pour protéger le compte (et qu’il ne faut pas perdre, sous peine de perdre toutes ses données). L’ajout d’un second facteur d’authentification est hautement recommandé.

Cela ne règle pas tous les problèmes cependant. Les mots de passe peuvent faire l’objet de fuites ou être obtenus par phishing. En 2022, Microsoft avait notamment expliqué comment une campagne très élaborée permettait de récupérer à la fois le mot de passe des utilisateurs et le second facteur d’authentification. Les facteurs multiples ne sont pas une protection absolue, mais ils permettent de casser de nombreuses tentatives.

Les clés d’accès, chiffrées, sont en théorie imperméables à ce genre d’attaque. Pas besoin non plus de les retenir. Nous avons consacré un article à leur fonctionnement. D’un point de vue pratique cependant, elles font face à un problème : une fois qu’elles sont sauvegardées chez un éditeur, comment les réutiliser ailleurs ?

La solution de l’Alliance FIDO

L’Alliance vient donc de proposer des versions préliminaires de deux nouvelles spécifications. Elles doivent permettre l’échange sécurisé des identifiants d’un fournisseur à un autre. L’un des objectifs est de préserver le chiffrement des données tout au long de la chaine, pour ne pas risquer de fuite. 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta, Samsung et SK Telecom ont participé à leur élaboration.

La première spécification est nommée Credential Exchange Protocol (CXP), dont le nom annonce clairement la couleur : un protocole pour l’échange sécurisé des identifiants. La deuxième, nommée Credentiel Exchange Format (CXF), définit simplement le format que les données doivent adopter pour être traitées par un gestionnaire d’informations d’identification.

À la lecture du descriptif, on se rend compte que l’Alliance FIDO ne parle pas directement des clés d’accès. C’est parce que CXP et CXF sont conçues pour l’ensemble des identifiants, dont les mots/phrases de passe et les clés d’accès. Dans le cas des premiers, cela signifie une modification à venir dans les gestionnaires de mots de passe pour la fonction Exporter, qui ne devrait plus s’appuyer sur un simple fichier CSV en clair.

Les spécifications sont présentes sur le dépôt GitHub de l’Alliance FIDO. Maintenant que les versions préliminaires sont disponibles, l’association cherche à collecter des retours.

La galère des vases clos

Actuellement, que ce soit pour les gestionnaires de mots de passe ou les clés, les solutions sont imparfaites. Tous les gestionnaires proposent une fonction d’import/export, cruciale. Mais, comme on vient de le dire, cela nécessite de récolter toutes les informations normalement chiffrées pour les mettre en clair dans un fichier. On donne ensuite ce dernier au gestionnaire pour qu’il y récupère ses données. La chaine de sécurité est cassée et il faut se montrer très prudent avec ce type de fichier.

Pour les clés d’accès, le problème est autre. Que l’on soit sur des produits Apple, Google ou Microsoft, chaque éditeur possède maintenant des moyens simples de stocker les clés d’accès créées. C’est du moins simple tant que l’on ne sort pas de l’environnement.

On peut voir une illustration du sujet dans une configuration classique : un PC sous Windows et un iPhone. La création des clés d’accès sur iPhone est simplifiée par iOS, qui va les enregistrer dans le Trousseau du système. Mais une fois de retour sur Windows, comment accède-t-on à ces clés ? Apple a donc mis à jour son iCloud pour le système de Microsoft, afin que les informations puissent être récupérées.

On est loin actuellement d’une situation idéale. Il n’existe pas de procédure commune ni standardisée pour passer d’un environnement à l’autre. Si votre environnement personnel ou de travail est hétérogène, la solution la plus simple reste encore un gestionnaire tiers de mots de passe. Tous les principaux sont compatibles avec les clés d’accès.

Cependant, la promesse des clés d’accès est de pouvoir s’authentifier sans trop y penser, l’accès à une clé étant protégé par la biométrie sur les appareils mobiles. Il est difficile de recommander un gestionnaire de mots de passe à tout le monde, car la mise en place est souvent perçue comme rébarbative.

On s’étonne cependant du temps qu’il aura fallu à l’Alliance pour proposer une solution à un problème connu depuis le départ.

Commentaires (6)

votre avatar
Voilà qui va peut-être faire regagner la confiance dans ces passkeys.

J'imagine qu'il est peut-être trop tôt pour répondre à cette question, mais est-ce que les bases de données Keepass (.kdbx) pourraient être remplacés à long terme par des fichier .cxf ?
votre avatar
En googlant rapidement extension cxf, ca peut vouloir dire plein de chose différentes...

Qu'est ce que tu reproches au format kdbx?
votre avatar
L'article dit que les gestionnaires de mots de passe exporte les couples identifiants/mots de passe en clair, souvent un fichier CSV

Mais il me semble qu'il est aussi possible de l'enregistrer en .kdbx qui une base de données chiffrées créé par le logiciel libre Keepass.
votre avatar
Je ne connais aucun gestionnaire de mots de passe autre que Keepass (et KeepassDX, et KeepassXC, et... vous avez le truc) qui utilise le .kdbx ou permet d'exporter dans ce format.
C'est un format vraiment spécifique à Keepass (d'ailleurs je suppose que kdb veut dire "keepass database" et le x pour le distinguer d'une ancienne version de ces fichiers, qui étaient probablement juste des .kdb à l'origine)
votre avatar
Du coup on peut espérer qu'il naisse un ensemble d'applis open source permettant de synchroniser ses clés, voire de les restaurer en cas de changement d'appareil sans que ce soit méga galère ? Voilà à peu près ce qui manquait à ce bazard.
votre avatar
On s’étonne cependant du temps qu’il aura fallu à l’Alliance pour proposer une solution à un problème connu depuis le départ.
En même temps, les 3 plus gros acteurs poussant les passkeys sont 3 entreprises qui ont tout intérêt à garder leurs utilisateurs dans leur écosystème, donc pourquoi "s'embêter" à faire tomber les frontières ?
À l'évidence, parce que la stratégie actuelle de garder des silos imperméables ne fonctionne pas.

Clés d’accès : l’Alliance FIDO propose un nouveau standard pour l’échange sécurisé d’identifiants

  • Pratiques ? Pas toujours

  • La solution de l’Alliance FIDO

  • La galère des vases clos

Fermer