Connexion
Abonnez-vous

Clés d’accès (passkeys) : après la théorie, place à la pratique !

Simplicité quantique

Clés d’accès (passkeys) : après la théorie, place à la pratique !

Dans un précédent article, nous avons expliqué le fonctionnement des clés d’accès, ou passkeys. Nous allons maintenant nous pencher sur leur utilisation, avec plusieurs cas pratiques. Nous verrons également les problématiques qui peuvent se poser dans leur gestion et les améliorations que les éditeurs ont encore à leur apporter.

Le 13 novembre à 09h27

Avant de commencer, faisons un bref rappel de ce que sont les clés d’accès. Elles sont fondées sur le protocole WebAuthentication et ont été créées pour remplacer les mots de passe. Leur fonctionnement est basé sur le chiffrement à clé publique. Quand le système ou une application génère une clé d’accès, il crée en fait deux clés : l’une publique, stockée sur le serveur, l’autre privée, stockée dans une zone sécurisée sur l’appareil de l’utilisateur.

Les clés d’accès sont faites pour simplifier la connexion aux services : elles ne nécessitent plus de retenir une information. Les mots de passe comportent en effet depuis longtemps des faiblesses inhérentes : ils doivent être complexes, uniques et contenir si possible tous les types de caractères, même spéciaux. On peut utiliser des phrases de passe, mais elles doivent également être uniques, toujours dans l’optique de ne pas pouvoir réutiliser l’information sur plusieurs applications et services.

Puisque les clés d’accès ont été créées au sein de l’alliance FIDO, tous les systèmes des grandes entreprises de la tech les prennent en charge, qu’il s’agisse d’Apple, de Google ou de Microsoft. Nous examinerons également la situation sous Linux. En revanche, les clés d’accès ne sont pas disponibles dans tous les services, y compris de grands groupes tels que Meta. Ainsi, ni Instagram ni Facebook n’y ont droit. En revanche, WhatsApp peut les utiliser.

Un premier cas : WhatsApp

Nous allons commencer par un cas simple, car WhatsApp est essentiellement présent sur un smartphone, qui sert de point de repère. Pour nos manipulations, nous utilisons un iPhone, mais un smartphone Android ne présente aucune différence majeure ici.

Il reste 87% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (21)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Dashlane ici, ça les gèrent plutôt bien.
C'est une app mobile et une extension des navigateurs.
Il faudrait que j'essaie sur le steamdeck pour voir si sous linux ça fonctionne.
votre avatar
En fait, je trouve que l'intérêt est limité tant que c'est en complément des mots de passe. Dashlane va déjà te mettre automatiquement le mot de passe et te connecter. Qu'il ajoute le mot de passe et fasse la connexion ou qu'il le fasse via la clé, il n'y a pas vraiment de gain de temps...
Enfin c'est la réflexion que je me suis fais depuis Dashlane et Bitwarden (en perso), avec des MDP autogénérés et costaux, j'ai trouvé l'intérêt plutôt limité tant niveau sécurité que niveau pratique.
votre avatar
gain de temps, oui pas vraiment, bien que je trouve que la détection du site/login est un poil plus rapide.
Par contre + sécure, oui je pense
votre avatar
Est-ce qu'utiliser la même clé d'accès à plusieurs services leur permettrait de faire du tracking ?
votre avatar
Les clés d'accès sont uniques à chaque site puisque la clé privée est associée à l'URL du site. 2 sites = 2 clés privées différentes. Et cette association permet de se protéger du hameçonage.
votre avatar
Je n'ai pas l'impression que leur adoption augmente beaucoup :(
J'aurais aimé que Bourso les acceptent pour l'authentification forte, ce n'est pas le cas. Toujours obligé de validé une transaction depuis le téléphone.
Coté Pro, pas d'adoption non plus.

Je ne peux les utiliser que pour la même chose qu'au premier jour, il y a 3 ans
votre avatar
Ca remplace l'utilisation des MDP, mais pas la double authentification. Même sur Amazon, si tu configure une clé, il te demandera la double authentification derrière...
votre avatar
Bourso ne demande que le mot de passe sur l'appli mobile pour considerer "une authentification forte". Mot de passe que remplace la clée de sécu pour les usage de consultation et autre.
Pas sur que ça puisse être assimilé a une authentification double facteur, mais plutot à un signe que la confiance de bourso sur les clée de sécurité s'arrête pour toute opération "a risque" pour eux.

Un truc par contre, mon telephone ne fait pas NFC, je ne sais pas si l'appli accepte la clée en authentification fort ou non. En tout cas, pas de validation de transaction possible sans son telephone.
votre avatar
Merci pour l'article.
Avec Bitwarden (Vaultwarden dans mon cas) ça fonctionne plutôt bien. Mais peu de sites les proposent. On trouve une liste ici.

Sur PC, avec Chrome, Firefox, ça fonctionne bien.
Sur Android, avec Bitwarden, c'est possible, mais uniquement sur une base Chromium, et ça demande une configuration supplémentaire.

J'ai donc quelques comptes avec passkey, mais ça reste light pour l'instant.
votre avatar
J'appuie ton commentaire avec le lien très pratique https://passkeys.directory/ qu'on ne voit pas assez à mon avis. J'y passe régulièrement afin de mettre à jour petit à petit mes comptes quand de nouveaux services que j'utilise son listés.
votre avatar
Je me pose pas mal de questions sur la synchro des clés entre appareils. si mon compte firefox sync marche bien pour mes mots de passe, qu'en est-il pour les passkeys? question bonus : est-ce qu'il y a une implémentation libre d'un serveur de synchro pour passkeys qui me permettrait de garder le contrôle dessus ? (avec les clients et extensions de navigateurs qui vont bien).
votre avatar
Il est indiqué dans l'article que le gestionnaire de Firefox ne prend pas en charge les passkeys.
Je ne vois pas d'autres solutions que d'utiliser un gestionnaire de mot de passe, Bitwarden (ou Vaultwarden), Dashlane, 1Password, etc.

D'ailleurs, on peut se poser également la question sur l'export et/ou le backup d'un coffre avec des passkeys.
Ça n'a pas l'air simple, et pour l'instant ça n'a pas l'air d'exister.

D'ailleurs Dashlane indique travailler avec 1Password sur ce sujet.
votre avatar
Marche parfaitement avec Proton Pass mais peu de site le propose en effet.
Le pire étant PayPal qui ne fonctionne qu'avec la solution Apple...
votre avatar
Je viens d'acquérir une yubikey (2 en fait, pour avoir un backup) mais je n'ai pas réussi à l'utiliser correctement. Je cherche un bon tuto à jour. Vous auriez ça en stock ?
votre avatar
Le site Yubico propose pas mal de tutos + vidéos. De ce que j'ai vu, ça doit répondre à la majorité des besoins.

Attention au clés d'accès physiques, le nombre d'emplacements de clés résidentes (en opposition aux clés non résidentes) est limité. Par exemple, sur une Onlykey (marque que j'utilise), c'est 12 emplacements de clés résidentes et une infinité de clés non-résidentes.
votre avatar
J’ai testé sur LinkedIn, il me demande un code envoyé par mail que je ne reçois pas.
Je ne suis pas très enthousiaste sur les implémentations des passkeys.
Ma Yubikey 5 est compatible avec les passkeys (c’est le cas pour GitHub).
Les implémentations WebAuthn en 2FA fonctionnent mieux dans l’ensemble.
votre avatar
Merci pour cette démo.

J'y pense de plus en plus, et la mise en lumière de Bitwarden m'a bien fait réfléchir.

J'ai une question toutefois.
Comment s'insère une clé Yubico Yubikey là dedans?
Merci aux sachants 👍
votre avatar
Je n'ai pas la science infuse, mais il me semble que la clé privée est alors stockée sur la Yubikey.

La connexion se fait alors en insérant et en touchant ta clé physique, de la même manière que tu validerai une connexion via un gestionnaire de mot de passe qui aurait sauvegardé ta "passkey".

La yubikey peut alors servir à la fois à la connexion (puisqu'elle conserve la clé d'accès) et à la 2FA, puisqu'elle conserve aussi le token qui génère le nombre aléatoire nécessaire à la double authentification.
Cela dit, tu ne peux stocker qu'un nombre restreint de passkeys (25 je crois), ce qui ne devrait pas poser trop de souci vu leur adoption limitée pour le moment. Voilà voilà, n'hésitez pas à me corriger si jamais je me trompe.
votre avatar
Merci, c'est l'idée que je m'en faisais aussi.
Si c'est confirmé, ça me branche vraiment comme façon de fonctionner.
votre avatar
Argh, je ne trouve plus le site qui répertorie les sites qui fonctionnent avec fido2, u2f et, surtout, indique ceux qui acceptent le multi-key. Parce que les passkey pour moi, c'est la plaie si ça ne prend qu'une clé (aussi ingérable que France Identité où il faut avoir sa CI sous la main). Déjà que c'est pénible avec les différents protocoles.
votre avatar

Clés d’accès (passkeys) : après la théorie, place à la pratique !

  • Un premier cas : WhatsApp

  • Passons à LinkedIn

  • On change tout et on recommence : Amazon dans Safari

  • Et sous Linux alors ?

  • L’importance du gestionnaire

  • Une simplification à venir pour les échanges

Fermer