Clés d’accès (passkeys) : après la théorie, place à la pratique !
Simplicité quantique
Dans un précédent article, nous avons expliqué le fonctionnement des clés d’accès, ou passkeys. Nous allons maintenant nous pencher sur leur utilisation, avec plusieurs cas pratiques. Nous verrons également les problématiques qui peuvent se poser dans leur gestion et les améliorations que les éditeurs ont encore à leur apporter.
Le 13 novembre à 09h27
14 min
Sécurité
Sécurité
Avant de commencer, faisons un bref rappel de ce que sont les clés d’accès. Elles sont fondées sur le protocole WebAuthentication et ont été créées pour remplacer les mots de passe. Leur fonctionnement est basé sur le chiffrement à clé publique. Quand le système ou une application génère une clé d’accès, il crée en fait deux clés : l’une publique, stockée sur le serveur, l’autre privée, stockée dans une zone sécurisée sur l’appareil de l’utilisateur.
Les clés d’accès sont faites pour simplifier la connexion aux services : elles ne nécessitent plus de retenir une information. Les mots de passe comportent en effet depuis longtemps des faiblesses inhérentes : ils doivent être complexes, uniques et contenir si possible tous les types de caractères, même spéciaux. On peut utiliser des phrases de passe, mais elles doivent également être uniques, toujours dans l’optique de ne pas pouvoir réutiliser l’information sur plusieurs applications et services.
Puisque les clés d’accès ont été créées au sein de l’alliance FIDO, tous les systèmes des grandes entreprises de la tech les prennent en charge, qu’il s’agisse d’Apple, de Google ou de Microsoft. Nous examinerons également la situation sous Linux. En revanche, les clés d’accès ne sont pas disponibles dans tous les services, y compris de grands groupes tels que Meta. Ainsi, ni Instagram ni Facebook n’y ont droit. En revanche, WhatsApp peut les utiliser.
Un premier cas : WhatsApp
Nous allons commencer par un cas simple, car WhatsApp est essentiellement présent sur un smartphone, qui sert de point de repère. Pour nos manipulations, nous utilisons un iPhone, mais un smartphone Android ne présente aucune différence majeure ici.
Il reste 87% de l'article à découvrir.
Déjà abonné ? Se connecter
Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.
Accédez en illimité aux articles
Profitez d'un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousClés d’accès (passkeys) : après la théorie, place à la pratique !
-
Un premier cas : WhatsApp
-
Passons à LinkedIn
-
On change tout et on recommence : Amazon dans Safari
-
Et sous Linux alors ?
-
L’importance du gestionnaire
-
Une simplification à venir pour les échanges
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 13/11/2024 à 10h01
C'est une app mobile et une extension des navigateurs.
Il faudrait que j'essaie sur le steamdeck pour voir si sous linux ça fonctionne.
Modifié le 13/11/2024 à 12h10
Enfin c'est la réflexion que je me suis fais depuis Dashlane et Bitwarden (en perso), avec des MDP autogénérés et costaux, j'ai trouvé l'intérêt plutôt limité tant niveau sécurité que niveau pratique.
Le 13/11/2024 à 13h39
Par contre + sécure, oui je pense
Le 13/11/2024 à 10h52
Le 14/11/2024 à 07h46
Le 13/11/2024 à 12h03
J'aurais aimé que Bourso les acceptent pour l'authentification forte, ce n'est pas le cas. Toujours obligé de validé une transaction depuis le téléphone.
Coté Pro, pas d'adoption non plus.
Je ne peux les utiliser que pour la même chose qu'au premier jour, il y a 3 ans
Le 13/11/2024 à 12h05
Le 14/11/2024 à 08h58
Pas sur que ça puisse être assimilé a une authentification double facteur, mais plutot à un signe que la confiance de bourso sur les clée de sécurité s'arrête pour toute opération "a risque" pour eux.
Un truc par contre, mon telephone ne fait pas NFC, je ne sais pas si l'appli accepte la clée en authentification fort ou non. En tout cas, pas de validation de transaction possible sans son telephone.
Le 13/11/2024 à 13h13
Avec Bitwarden (Vaultwarden dans mon cas) ça fonctionne plutôt bien. Mais peu de sites les proposent. On trouve une liste ici.
Sur PC, avec Chrome, Firefox, ça fonctionne bien.
Sur Android, avec Bitwarden, c'est possible, mais uniquement sur une base Chromium, et ça demande une configuration supplémentaire.
J'ai donc quelques comptes avec passkey, mais ça reste light pour l'instant.
Le 14/11/2024 à 16h14
Le 13/11/2024 à 15h15
Le 13/11/2024 à 16h06
Je ne vois pas d'autres solutions que d'utiliser un gestionnaire de mot de passe, Bitwarden (ou Vaultwarden), Dashlane, 1Password, etc.
D'ailleurs, on peut se poser également la question sur l'export et/ou le backup d'un coffre avec des passkeys.
Ça n'a pas l'air simple, et pour l'instant ça n'a pas l'air d'exister.
D'ailleurs Dashlane indique travailler avec 1Password sur ce sujet.
Le 13/11/2024 à 20h17
Le pire étant PayPal qui ne fonctionne qu'avec la solution Apple...
Le 13/11/2024 à 20h40
Le 14/11/2024 à 07h51
Attention au clés d'accès physiques, le nombre d'emplacements de clés résidentes (en opposition aux clés non résidentes) est limité. Par exemple, sur une Onlykey (marque que j'utilise), c'est 12 emplacements de clés résidentes et une infinité de clés non-résidentes.
Le 13/11/2024 à 21h35
Je ne suis pas très enthousiaste sur les implémentations des passkeys.
Ma Yubikey 5 est compatible avec les passkeys (c’est le cas pour GitHub).
Les implémentations WebAuthn en 2FA fonctionnent mieux dans l’ensemble.
Le 13/11/2024 à 21h39
J'y pense de plus en plus, et la mise en lumière de Bitwarden m'a bien fait réfléchir.
J'ai une question toutefois.
Comment s'insère une clé Yubico Yubikey là dedans?
Merci aux sachants 👍
Le 14/11/2024 à 10h08
La connexion se fait alors en insérant et en touchant ta clé physique, de la même manière que tu validerai une connexion via un gestionnaire de mot de passe qui aurait sauvegardé ta "passkey".
La yubikey peut alors servir à la fois à la connexion (puisqu'elle conserve la clé d'accès) et à la 2FA, puisqu'elle conserve aussi le token qui génère le nombre aléatoire nécessaire à la double authentification.
Cela dit, tu ne peux stocker qu'un nombre restreint de passkeys (25 je crois), ce qui ne devrait pas poser trop de souci vu leur adoption limitée pour le moment. Voilà voilà, n'hésitez pas à me corriger si jamais je me trompe.
Le 14/11/2024 à 10h21
Si c'est confirmé, ça me branche vraiment comme façon de fonctionner.
Le 19/11/2024 à 15h09
Modifié le 20/11/2024 à 13h39
Ou celui-ci : Fido2, Webauthn and U2F Supported Sites ?