Qu'est-ce que la connexion sans mot de passe ?

Le terme connexion sans mot de passe fait référence aux méthodes de connexion où l'utilisateur n'a pas à saisir de mot de passe. Un exemple est l'utilisation des passkeys.

Qu'est-ce que le chiffrement asymétrique ?

Le chiffrement asymétrique est une méthode de chiffrement où deux clés différentes sont utilisées. L'une est la clé privée que vous conservez en toute sécurité. La clé publique peut être partagée avec des tiers. Une communication sécurisée nécessite les deux clés. Si la clé 1 chiffre des données, seule la clé 2 peut les déchiffrer. Et inversement.

Passkey

Q: Qu'est-ce qu'une passkey ?

La passkey est un concept qui permet à l'utilisateur de se connecter sans avoir à saisir un mot de passe. Les passkeys utilisent une clé cryptographique liée à l'appareil et à l'identité d'une personne. L'utilisateur peut être vérifié par reconnaissance faciale, empreinte digitale ou code PIN.

Qu'est-ce qu'une passkey ?

Une passkey est une méthode relativement récente et sécurisée pour se connecter à des sites web et des applications. Un mot de passe n'est plus nécessaire; à la place, vous utilisez une clé numérique stockée par exemple sur votre téléphone, votre ordinateur portable ou votre tablette. L'accès à cette clé numérique est sécurisé par votre empreinte digitale, la reconnaissance faciale ou un code PIN.

Fonctionnement des passkeys : connexion sans mot de passe

Avec une protection d'accès traditionnelle, vous devez utiliser par application un mot de passe unique et suffisamment fort. Cela exige une grande discipline de l'utilisateur et, même dans ce cas, il existe encore de nombreuses techniques, ainsi que des attaques de social engineering, pour récupérer les mots de passe. Cela va des fuites de données où des mots de passe sont dérobés aux campagnes de phishing et aux enregistreurs de frappe.

Ces vulnérabilités sont évitées avec les passkeys. Les passkeys reposent sur un protocole de vérification sécurisé basé sur un chiffrement dit asymétrique. L'authentification utilise une clé privée unique sur l'appareil de l'utilisateur, comme un ordinateur portable ou un smartphone, qui fonctionne avec une clé publique au sein de l'application. Lors de la connexion, l'application demande à l'appareil d'envoyer une signature numérique avec la clé privée. Cette signature est vérifiée avec la clé publique de l'application. Aucun mot de passe ni autre donnée sensible n'est échangé.

Vous créez une passkey distincte par application et plusieurs passkeys peuvent donc être stockées sur un même appareil. Les passkeys sont d'ailleurs créées automatiquement; vous n'avez pas besoin d'un générateur de passkeys ou d'un outil similaire.

Connexion à la fois sécurisée et conviviale

Les passkeys sont plus sûres, et se connecter sans mot de passe est aussi nettement plus convivial. L'utilisateur doit toutefois encore prouver son identité. Sans cela, toute personne ayant momentanément accès à votre ordinateur portable ou à votre smartphone pourrait se connecter immédiatement à vos applications. Heureusement, les appareils modernes disposent d'une authentification biométrique comme des lecteurs d'empreintes digitales ou la reconnaissance faciale. La vérification devient ainsi très simple. Dès que votre empreinte digitale ou votre scan du visage est validé, vous pouvez automatiquement vous connecter avec votre passkey.

Ce qui précède est le scénario idéal. Si un ordinateur portable ou un smartphone ne prend pas en charge la vérification biométrique, vous pouvez utiliser un code PIN ou un mot de passe. La vérification reste alors relativement simple, car il s'agit d'un seul code pour votre appareil, quel que soit le nombre de passkeys utilisées. De plus, ce code peut être relativement simple. Le code PIN ou le mot de passe reste interne à l'appareil et le système empêche les tentatives illimitées. La probabilité que votre code PIN ou votre mot de passe soit volé par phishing ou par une attaque par force brute est minimale.

Exemple de passkey

Comment cela fonctionne-t-il en pratique ? Nous montrons ci-dessous comment utiliser une passkey pour accéder par exemple à un compte GitHub. Vous utilisez cette passkey sur un ordinateur portable Windows avec l'authentification biométrique Windows Hello. Pour utiliser une passkey, elle doit d'abord être créée une seule fois. Vous pouvez ensuite l'utiliser sans limitation pour vous connecter.

Créer une passkey (une seule fois)

Accédez à github.com et connectez-vous de manière classique avec votre nom d'utilisateur et votre mot de passe.
Accédez ensuite à 'Paramètres', puis 'Mot de passe et authentification'.
Faites défiler jusqu'à 'Passkeys' et sélectionnez 'Ajouter une passkey'.
Une invite s'affiche et vous choisissez 'Utiliser Windows Hello'.
Vous pouvez maintenant vous authentifier via Windows Hello, par exemple avec votre visage ou votre empreinte digitale.
La passkey est ensuite créée et enregistrée automatiquement sur votre ordinateur portable.

Une nouvelle passkey est maintenant enregistrée sur votre ordinateur portable, liée à votre profil Hello. Cette passkey peut désormais être utilisée pour vous connecter à votre compte GitHub.

Vous trouverez toutes les passkeys installées, celle-ci et les précédentes, dans Paramètres Windows > Comptes > Clés d’accès. Clé d’accès est le terme français pour passkeys.

Utiliser une passkey pour se connecter (sans limitation)

Vous pouvez ensuite utiliser cette passkey pour vous connecter à votre compte GitHub :

Allez sur github.com et cliquez sur 'Sign in'.
Sélectionnez 'Sign in with a passkey'.
Windows affiche maintenant une invite 'Utiliser votre passkey avec Windows Hello ?'
Confirmez avec votre visage, votre empreinte digitale ou votre code PIN. En cas de vérification réussie, vous êtes immédiatement connecté.

Vous n'avez donc plus besoin de votre nom d'utilisateur et de votre mot de passe. En réalité, vous vous connectez maintenant avec une authentification multifacteur (MFA). Vous commencez par quelque chose que vous êtes (via une empreinte digitale ou une reconnaissance faciale) ou savez (le code PIN). Cela active la passkey sur votre appareil (quelque chose que vous possédez) et vous accédez ainsi à votre compte.

L'exemple ci-dessus utilise GitHub. Il s'agit de l'une des applications de plus en plus nombreuses qui prennent en charge les passkeys. Microsoft prend évidemment aussi en charge les passkeys et vous pouvez par exemple relier Microsoft 365 à votre ordinateur portable via une passkey.

FIDO, la norme des passkeys

De plus en plus d'applications prennent progressivement en charge les passkeys, mais leur usage n'est pas encore universel. Une organisation qui cherche à en stimuler l'adoption est l'alliance FIDO, au sein de laquelle collaborent de grands acteurs technologiques comme Microsoft, Google et Apple. FIDO signifie Fast IDentity Online et propose un ensemble de normes qui rendent techniquement possibles les méthodes de connexion sans mot de passe.

La norme FIDO d'origine existe depuis longtemps, depuis 2013, mais une mise à jour a été publiée récemment, FIDO2. Elle permet entre autres d'utiliser des passkeys sur des ordinateurs portables et des smartphones, et de vérifier les utilisateurs avec des méthodes biométriques. FIDO2 comprend plusieurs protocoles techniques :

WebAuthn. Il s'agit de la norme du World Wide Web Consortium (W3C) pour la connexion distante sans mot de passe. Elle fournit un protocole de connexion standardisé entre les appareils des utilisateurs et les applications distantes.
CTAP. Cet acronyme signifie Client to Authenticator Protocol. Les passkeys sur les appareils des utilisateurs ne sont en effet pas la seule option pour se connecter sans mot de passe. Les utilisateurs peuvent aussi recourir à des clés matérielles telles que YubiKey. Une telle clé peut être connectée par exemple via le port USB d'un ordinateur portable et servir d'authenticator pour se connecter. CTAP standardise l'échange de données entre les authenticateurs matériels et les appareils des utilisateurs.

Naturellement, des acteurs comme Microsoft, Google et Apple utilisent activement les normes FIDO. Nous avons déjà donné un exemple de passkey sur un ordinateur portable Windows. Sur les appareils Apple, vous pouvez également utiliser des passkeys avec vérification par Face ID ou Touch ID. Et les appareils Android prennent en charge les passkeys liées aux comptes Google. Grâce aux passkeys, vous pouvez bien sûr accéder à de nombreuses applications Apple, Google et Microsoft, mais de plus en plus d'autres applications prennent aussi progressivement en charge les passkeys. Nous avons déjà mentionné l'exemple de GitHub et Adobe prend également en charge les passkeys.

Scénarios avancés avec passkeys

L'exemple précédent était un scénario de base; vous vous connectez avec une passkey installée sur le même appareil. Ce sera aussi le scénario le plus utilisé, mais sachez que bien d'autres scénarios sont possibles avec les passkeys. Nous donnons deux exemples :

Vous pouvez synchroniser des passkeys entre appareils via le cloud. Vous pouvez alors vous connecter à partir de plusieurs appareils à la même application avec la même passkey. En termes d'administration, c'est bien plus simple que de devoir créer une passkey distincte sur chaque appareil.
Vous pouvez aussi utiliser les passkeys sur votre smartphone comme authenticator. Souhaitez-vous par exemple vous connecter à partir d'un appareil qui ne contient pas votre passkey ? Vous empruntez par exemple l'ordinateur portable de quelqu'un ? La fenêtre de connexion affiche alors un code QR. Vous pouvez le scanner avec votre smartphone et vous connecter directement avec la passkey de votre smartphone.

Avantages des passkeys

Par rapport à la méthode traditionnelle de connexion avec mot de passe, les passkeys offrent surtout des avantages. Nous en avons déjà mentionné quelques-uns, mais voici les points essentiels :

Meilleure sécurité. La vérification de l'utilisateur est effectuée au moyen d'un handshake cryptographique entre l'application et l'appareil de l'utilisateur. Aucune donnée de mot de passe n'est échangée et aucune technique de phishing ne peut être utilisée pour copier des identifiants d'accès. Vous utilisez une passkey unique par application.
Convivialité. La connexion avec une passkey se fait sans longs mots de passe et, au maximum, vous devez saisir un code PIN. Le plus souvent, vous pouvez utiliser votre empreinte digitale ou la reconnaissance faciale.
Moins de mots de passe. Le nombre d'applications qui prennent en charge les passkeys augmente rapidement. Vous avez donc de moins en moins de mots de passe à gérer et à mémoriser.
Indépendance vis-à-vis de la plateforme. Des méthodes sécurisées sont disponibles pour synchroniser vos clés privées via le cloud sur plusieurs appareils.
Avec les passkeys, vous disposez automatiquement de l'authentification multifacteur. Vous vous connectez avec quelque chose que vous êtes ou savez, via votre code PIN ou une reconnaissance biométrique, et la passkey est installée sur quelque chose que vous possédez, votre appareil.

Utilisation des passkeys dans votre environnement IAM

Pour un usage personnel, les passkeys sont donc des remplaçantes idéales des mots de passe. Dans les réseaux d'entreprise, plusieurs possibilités existent également pour rendre votre gestion des accès plus sûre et plus conviviale. Il y a toutefois des points d'attention supplémentaires. Dans un environnement professionnel, la gestion des passkeys doit être organisée de manière centralisée. Normalement, vous provisionnez des comptes et des droits vers votre fournisseur d'identité, IdP tel qu'AD ou Entra ID, et vers les systèmes cibles. Il faut maintenant réfléchir à l'intégration avec votre système de gestion des terminaux, car les passkeys sont stockées dans les appareils des utilisateurs. Cela renforce la sécurité de votre gestion des accès et la simplifie pour les utilisateurs, mais peut complexifier la gestion des identités.

Il est également utile de réfléchir à l'articulation entre les passkeys et des concepts comme le Single Sign-On (SSO). Si vous utilisez le SSO, il est moins logique pour les applications connectées d'utiliser des passkeys. Vous vous connectez en effet à l'IdP et, à partir de là, le mécanisme SSO détermine qui accède à quelles applications. L'usage des passkeys y est donc moins évident. En même temps, la passkey constitue une méthode de connexion bien plus sûre pour l'accès central à votre mécanisme SSO. Vous n'avez plus besoin d'un mot de passe maître fort qui doit être absolument sécurisé. À la place, vous vous connectez une fois avec une passkey et, via le SSO, vous avez ensuite automatiquement accès à toutes vos applications.

En savoir plus sur les passkeys ?

D'un point de vue IAM, les passkeys jouent surtout un rôle dans l'organisation de votre gestion des accès. Dans ce domaine, vous pouvez utiliser les passkeys pour sécuriser des applications ou, par exemple, comme accès central à votre mécanisme de Single Sign-On. Dans vos fournisseurs d'identité tels qu'Entra ID, les passkeys sont déjà prises en charge en combinaison avec l'authenticator sur votre smartphone. Vous entendrez davantage parler des possibilités dans les prochains temps.