Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Clés d’accès (passkeys) : de trop nombreux problèmes d’UX freinent leur efficacité

Relativité générale

Clés d’accès (passkeys) : de trop nombreux problèmes d’UX freinent leur efficacité

La facilité d’utilisation est aujourd’hui la plus grande ennemie des clés d’accès, ou passkeys. La technologie sous-jacente donne toute satisfaction, mais les entreprises qui les proposent ont tendance à se croire seules. Un manque criant de concertation venant briser souvent la promesse de simplicité initiale.

Le 02 janvier à 17h22

Comme nous l’expliquions en juin dernier, les clés d’accès sont une technologie standardisée par l’alliance FIDO (Fast Identity Online) et basée sur l’API Web Authentication, avec le soutien actif de tous les grands noms de la tech, dont Microsoft, Apple et Google. Elles sont censées prendre le relai des mots de passe, jugés trop dangereux aujourd’hui. Outre les problèmes habituels (réutilisation, faiblesse…), les mots de passe peuvent fuiter. Après une année 2024 de tous les records dans ce domaine, la question se pose d’autant plus.

Même si on parle d'« une » clef d'accès comme élément d’identification, elle est en fait composée de deux clés, l’une privée, l’autre publique. Celle-ci est stockée par le service auquel on souhaite s’authentifier. La clé privée, elle, est préservée dans une zone sécurisée de l’appareil. Tout accès à cette clé provoque l’apparition d’une demande de confirmation. La validation est biométrique, sinon par code PIN, provoquant alors l’émission d’un jeton, qui sera mis en contact avec la clé publique. S’il y a correspondance, l’accès au service est autorisé.

En théorie comme en pratique, le mécanisme est efficace. La preuve d’identité ne fait pas appel à la mémoire et ne peut être dérobée. Pour que les clés d’accès rencontrent le succès cependant, il faut qu’elles soient suffisamment simples à utiliser pour passer l’envie des vieux mots de passe. Et c’est là, bien sûr, que les choses se corsent.

Chacun chez soi

On peut résumer tout le problème aisément : tout est simple si on n’utilise qu’un unique appareil. Dans ce cas, toutes les clés sont au même endroit, probablement gérées par un seul éditeur. Si vous utilisez un smartphone Android, c’est le gestionnaire de mots de passe par défaut qui les stocke et les régurgite au besoin. Même chose sur un iPhone, iOS 18 ayant d’ailleurs simplifié les opérations avec une application Mots de passe permettant de se passer du vieux Trousseau.

Mais il y a de bonnes chances que vous utilisiez au moins un appareil mobile et un ordinateur. La situation se complexifie alors, selon les environnements et choix en matière d’applications. Comme nous l’avions indiqué il y a deux mois, les clés d’accès restent encore simples d’utilisation si vous avez un smartphone Android et Chrome sur un ordinateur. Le compte Google synchronise les informations et le tout est relativement transparent au quotidien. Si vous avez un iPhone en revanche, il faudra passer par une extension pour le navigateur et l’installation d’iCloud.

Des cassures en pagaille dans l’UX

Nos confrères d’Ars Technica se sont penchés sur cet aspect des clés d’accès. S’ils qualifient la technologie « d’élégance pure » d’un point de vue technique, l’utilisation est une tout autre paire de manches. Comme nous, ils constatent que tout se passe bien depuis un seul appareil, mais que l’ensemble manque cruellement de cohérence dès que l’on en a plusieurs.

Cette cohérence se manifeste surtout par des frictions continues dans l’expérience utilisateur. « L'expérience de connexion à PayPal avec une clé d’accès sur Windows sera différente de la connexion au même site sur iOS ou même de la connexion avec Edge sur Android », note ainsi Ars Technica. La situation se complique encore avec Firefox, certains sites – dont PayPal justement – ne le supportant pas.

L’utilisation d’un gestionnaire tiers de mots de passe simplifie largement les choses, mais uniquement pour les personnes qui savent déjà où elles mettent les pieds. Chez nos confrères, Dan Goodin dit ainsi se servir de 1Password pour synchroniser ses mots de passe et clés d’accès. Dans le cas de LinkedIn, il a créé une clé d’accès depuis Firefox sur un Mac. Elle apparait comme telle depuis les paramètres du compte. La clé, une fois synchronisée, fonctionne cependant avec tous les appareils. Comme l’explique le journaliste, le gestionnaire n’a aucun moyen de se mettre en relation avec LinkedIn pour que celui-ci affiche des informations cohérentes.

Nous avions souligné ce problème il y a deux mois, notamment pour les navigateurs possédant un gestionnaire intégré compatible avec les clés d’accès. Selon que l’on utilise Firefox, Chrome, Edge ou encore Safari, l’expérience utilisateur change complètement. C’est particulièrement vrai sur un appareil mobile : en fonction de la situation, on ne sait pas toujours si c’est le système, l’application utilisée ou le gestionnaire de mots de passe qui se manifeste.

La simplicité se paye

Ars Technica note le travail fait par Apple, qui a manifestement réfléchi à sa copie. Les messages sont globalement clairs, tout du moins tant que l’on reste dans les suggestions par défaut. Dès que l’on creuse un peu, les choses se complexifient à nouveau. Surtout, Apple a le même problème que les autres fournisseurs de solutions logicielles : l’entreprise se croit seule.

C’est un autre type de « silo » que nous évoquions en novembre et qu’Ars Technica résume par la formule « trop de cuisiniers dans la cuisine ». Chaque système d’exploitation ou navigateur vous propose d’enregistrer une clé d’accès par une invite qui lui est propre, avec son langage et ses codes graphiques. Tant que l’on y reste, tout va pour le mieux. Mais aucun n’avertit l’utilisateur ou l’utilisatrice que pour utiliser ces clés sur d’autres appareils, il faudra les synchroniser, ni comment s’y prendre.

Chacun agit comme s’il était seul sur l’appareil, accaparant l’attention et affirmant qu’il va mieux faire que les autres. Les choix des éditeurs ne sont même pas cohérents selon les plateformes. On pourrait penser par exemple que Chrome sur ordinateur donne la préséance à son propre gestionnaire de mots de passe, comme il le fait pour… les mots de passe justement. Il n’en est rien : sur Windows, il confie cette tâche à Windows Hello, sur Mac, au Trousseau de macOS.

Là encore, dans notre dernier article, nous avions montré qu’il était possible de changer ce comportement, mais encore faut-il savoir que l’option existe et où aller la trouver. Et encore, la synchronisation des clés d’accès n’est arrivée dans le navigateur qu’en septembre dernier.

Rien de réellement grave ou bloquant

Dans de nombreux cas, l’utilisation des clés ne pose pas de problème. Pour nos confrères, au pire, il suffit de créer autant de clés supplémentaires que de besoin selon le nombre d’appareils. Mais ce n’est pas simple, alors que la simplicité est la grande promesse des clés d’accès. Si leur objectif est de donner envie aux internautes d’y recourir, le bon vieux mot de passe a encore de beaux jours devant lui.

C’est d’autant plus vrai que, comme nous l’avions relevé, il est strictement impossible aujourd’hui de désactiver le mot de passe sur un service. Des centaines d’entre eux sont compatibles avec les clés d’accès, mais ces dernières ne sont actuellement qu’une « surcouche ». Ainsi, si l’on ne dispose pas de la clé, on peut demander à écrire le mot de passe, de la même manière qu’un échec sur une identification biométrique réclamera le code PIN. Et si tout échoue, on en revient à l’e-mail de réinitialisation, souvent avec un code à six chiffres, quand ce n’est pas un simple SMS.

Cette phase apparait toutefois comme nécessaire : on ne peut pas supprimer d’un seul coup les mots de passe, présentés comme principal sas de sécurité depuis tant d’années. C’est l’approche hybride retenue par l’alliance FIDO d’après des tests réalisés auprès d’échantillons d’internautes.

« Au fil du temps, nous avons l'intention de sevrer les utilisateurs des facteurs d'authentification hameçonnables, mais nous prévoyons que ce voyage prendra plusieurs années. Nous ne pourrons vraiment y parvenir que lorsque les utilisateurs seront tellement à l'aise avec les clés d’accès que le recours aux mots de passe ne sera (presque) jamais nécessaire », a ainsi déclaré à Ars Technica Christiaan Brandt, coprésident du groupe de travail technique FIDO2 et responsable des produits d’identité et de sécurité chez Google.

On en revient ainsi à l’éternelle question du curseur entre sécurité et facilité d’utilisation. Les clés d’accès sont censées allier les deux, mais la simplicité s’efface en fonction du nombre d’appareils. Les éditeurs le savent d’ailleurs. En octobre, plusieurs annonces importantes ont eu lieu dans ce domaine.

Microsoft, d’abord, a annoncé l’arrivée prochaine d’une API pour les fournisseurs tiers de clés d’accès, avec la promesse de faciliter le choix à l’enregistrement. Quelques jours plus tard, l’alliance FIDO elle-même a présenté deux nouvelles spécifications, CXP et CXF, pour faciliter le déplacement des clés d’accès entre deux fournisseurs, sans briser la chaine de sécurité. De quoi mettre fin au problème des vases clos ?

Commentaires (22)

votre avatar
Chacun agit comme s’il était seul sur l’appareil, accaparant l’attention et affirmant qu’il va mieux faire que les autres.
Microsoft, d’abord, a annoncé l’arrivée prochaine d’une API pour les fournisseurs tiers de clés d’accès, avec la promesse de faciliter le choix à l’enregistrement. Quelques jours plus tard, l’alliance FIDO elle-même a présenté deux nouvelles spécifications, CXP et CXF, pour faciliter le déplacement des clés d’accès entre deux fournisseurs, sans briser la chaine de sécurité. De quoi mettre fin au problème des vases clos ?
Cela m'a fait penser à ce xkcd sur les standards : https://xkcd.com/927/ :francais:
votre avatar
Donc vous êtes en train de dire que dans la futur, si je perds / casse / me fait voler mon téléphone, je perds tout moyen de m'authentifier; à moins que je délègue tout ça à une entreprise qui peut mettre la clé sous la porte à tout moment ?!

Vous êtes mignon, mais je vais faire mon vieux con et rester sur mes mots de passe + keepassxc + synchro webdav encore un peu.
votre avatar
À moins qu'un élément m'échappe et si je me base sur mon expérience personnelle, la clé d'accès n'est jamais le facteur d'authentification créé en premier, cette position revient très souvent au couple identifiant/mot de passe.
Je dis très souvent car je rencontre quelques fois des sites qui proposent de générer et d'envoyer par mail un mot de passe de session ou un lien d'authentification.

Quoi qu'il en soit, le seul de cas de figure qui me vient à l'esprit où on perd tout moyen de s'authentifier est la perte d'accès à la boite mail qui a servi à la création du compte.
votre avatar
J'ai récemment (tenté de) aidé un ami, qui a perdu l'accès à une de ses boîtes mail. Et effectivement, c'est le blocage le plus probable. Même en contactant le support, il n'est pas garanti qu'ils aident (ou puissent aider) à récupérer un accès.
votre avatar
Rien ne t'empêche de stocker tes clefs sur un gestionnaire auto hebergé.
votre avatar
Les clefs d'accès sont stockables dans keepassxc de la version 2.7.7.

Bonne journée 🙂
votre avatar
Moi, j'ai toujours autant de mal à voir l'avantage à un mot de passe genre 20 caractères différents d'un site à l'autre, stocké dans un gestionnaire de mot de passe crypté qui balance tout ce qui faut à la vitesse de la lumière... Surtout quand en cas d'échec de la biométrie on propose un code pin à 4 caractères.
votre avatar
La recherche de simplicité dans les modes d'authentification vise surtout les personnes qui ne peuvent/veulent pas entrer dans les considérations techniques.

J'ai testé plusieurs solutions auprès de proches pour renforcer leurs mots de passe et aucune solution n'est parfaite.
Il y a toujours un compromis ou plusieurs parmi :
- La sécurité
- La prise en main et l'habitude à prendre
- L'expérience utilisateur homogène selon la plateforme, la conception des sites internet.
- Les valeurs et l'éthique de l'entreprise qui propose la solution
votre avatar
Et donc les passkeys devraient pouvoir arranger le problème pour les non techniciens... Pourquoi pas.
votre avatar
Ça permet de retirer une partie de la complexité à créer, stocker, organiser des mots de passes par sites / profiles.
votre avatar
"La recherche de simplicité dans les modes d'authentification vise surtout les personnes qui ne peuvent/veulent pas entrer dans les considérations techniques."

C'est effectivement la base de la simplification des outils et méthodes mais il ne faut pas oublier que c'est surtout l'analyse de risque qui permet d'utiliser d'autres méthodes "simples" en apparence.

Après tout nouvel usage demande de l'apprentissage donc qu'il y ait des gens qui ont du mal à changer c'est classique. Ca n'est certainement pas une raison pour repousser les améliorations de sécurité concrètes.
votre avatar
Dans le cas du mot de passe, le mot de passe est transmis jusqu'au site web et il y'a donc moyen de l'intercepter a un moment. Pour la passkey, cela doit plus fonctionner comme une clé ssh. Le serveur envoie une challenge au client qui va le chiffrer avec sa clé privé et envoyer le résultat au serveur. Le serveur va alors vérifier en déchiffrant avec la clé public que la réponse au challenge est correcte. L'élément de sécurité (la clé privé) ne quitte donc jamais l'appareil du client. On a donc bien un niveau de sécurité plus important.
votre avatar
Alors ça, c'est un argument qui me parle !
votre avatar
C’est dit dans l’article, mais pas détaillé. La passkey résiste à l’hameçonnage, pas le mot de passe. Càd que si tu essaies de t’authentifier sur le mauvais site avec ton mot de passe, ton mot de passe est compromis, alors que si tu le fais avec une passkey, celle-ci n’est pas compromise (dans le pire des cas, l’attaquant pourrait peut-être éventuellement mener une authentification unique avec succès, mais il y a des contre-mesures pour ça, ça impose de réussir un mitm, etc.).

Bon après, si les sites ne passaient pas leur temps à changer l’url de login, à passer du .fr au .com, etc, peut-être qu’il y aurait aussi moins de soucis…
votre avatar
Jusqu'à ce qu'un brouteur réussisse à guider pas à pas mamyvette pour qu'elle lui donne sa clé privée et son code pin :roll:
votre avatar
Il m’a fallu un peu de temps. Je suis si vieux que ça, que « brouteur » est encore pour moi une traduction un peu trop littérale de « browser », et donc que ça désigne le navigateur ? :phibee:
votre avatar
Je pense que vous confondez avec "butineur" ;)
votre avatar
Vous êtes d'humeur blagueuse en ce début d'année ou vous ne savez vraiment pas ce qu'est un brouteur du net ?
fr.wikipedia.org Wikipedia

Je vous conseille de suivre les gazouillis de l'inénarrable Métabrouteur dont le jeu est de tourner ces emmerbiip en ridicules ou en bouriques.


@la rédaction > Finalement, il y a peut-être un sujet d'article.
votre avatar
Pas de confusion, non. Brouteur s’employait un peu comme une blague, au milieu des années 90 je dirais. Butineur est arrivé plus tard, vers la fin des années 90.

Apparemment, pas grand monde ne s’en souvient, même ici. Brouteur dans son sens actuel doit avoir moins d’une dizaine d’années je dirai.
votre avatar
Fun fact: Ce matin en me connectant sur Amazon, mon extension Bitwarden de Firefox à enregistré une clé d'accès pour mon compte.

On verra ce que ca donnera dans le futur ! Ayant BW partout, ça devrait faciliter la connexion :)
votre avatar
J'utilise aussi Bitwarden et je penses qu'il répond parfaitement à la problématique : Il est multiplateforme.
Je n'ai aucun soucis avec les passkey généré sous Firefox/OSX sous Firefox/W11 ou encore sur iOS.
votre avatar
J'utilise également bitwarden et aucun problème avec les passkey, quelque soit les appareils avec lesquels il est synchronisé. Amazon, docusign, boursorama... impeccable !

Clés d’accès (passkeys) : de trop nombreux problèmes d’UX freinent leur efficacité

  • Chacun chez soi

  • Des cassures en pagaille dans l’UX

  • La simplicité se paye

  • Rien de réellement grave ou bloquant

Fermer