Malgré leur adoption de plus en plus répandue, les Passkeys demeurent un concept mystérieux pour plusieurs. Dans cet article, nous tentons de répondre à quelques-unes des questions les plus courantes qui nous sont posées. Les réponses sont les plus objectives possible, exposant à la fois les forces et les faiblesses de cette technologie.

Comment les Passkeys résistent-elles à l’hameçonnage ?

Contrairement à un mot de passe, la valeur d’un Passkey n’est pas choisie par l’utilisateur. C’est un mécanisme de sécurité sous-jacent (Yubikey, Apple Passwords, Windows Hello, etc.) qui génère une valeur aléatoire associée à un domaine spécifique. Alors que l’œil humain peut être trompé par des URLs similaires, il est impossible de tromper un ordinateur de cette manière.

Je ne veux pas collecter d’informations biométriques…

Une des forces des Passkeys est qu’il est possible d’utiliser facilement la reconnaissance d’empreintes digitales ou la reconnaissance faciale comme facteur d’authentification. Considérant la sensibilité de ce type de renseignement, et les restrictions qui y sont associées depuis l’entrée en vigueur de la Loi 25, il est normal d’être prudent. Cependant, il est important de comprendre que les données biométriques ne sont jamais partagées avec le site web auquel vous tentez d’accéder ! C’est le mécanisme sous-jacent (Apple Passwords, Windows Hello, etc.) qui utilise la biométrie pour récupérer le Passkey.

Pourquoi est-ce plus sécuritaire qu’un mot de passe ?

Les mots de passe ont deux principales faiblesses : ils sont limités par la mémoire humaine et doivent être partagés avec le site auquel l’utilisateur souhaite accéder. Ces deux faiblesses combinées ouvrent la porte à une multitude de vecteurs d’attaques tels que le credential stuffing, le bruteforcing, ou simplement une mauvaise implémentation de la part des développeurs du site.

Les Passkeys résolvent ces deux problèmes. Premièrement, la valeur du Passkey n’est pas choisie par l’utilisateur et est théoriquement impossible à deviner avec nos technologies modernes. Deuxièmement, en utilisant la cryptographie asymétrique, aucune valeur sensible n’a besoin d’être partagée avec le site web ! Cette différence est fondamentale : même si vous ne faites pas confiance aux développeurs d’un site, vous pouvez leur partager la partie publique du Passkey sans aucune crainte.

Est-ce facile d’ajouter les Passkeys à mon site ?

Non, mettre en place soi-même un mécanisme de Passkey est un exercice relativement complexe. Les spécifications sont remplies de subtilités, et implémenter une expérience utilisateur de qualité n’est pas un défi trivial. Heureusement, la majorité des plateformes d’authentification (par exemple Auth0, AWS Cognito) offrent une intégration facile. Si vous désirez tout de même aller de l’avant avec une implémentation sur mesure, la lecture de Tour of WebAuthn est chaudement recommandée.

Les Passkeys fonctionnent-elles uniquement pour le Web ?

Non, iOS et Android disposent d’API permettant d’utiliser les Passkeys dans des applications mobiles natives. Cela permet la création d’une expérience unifiée dans laquelle un utilisateur inscrit, par exemple, sur le site web peut ensuite se connecter sur l’application mobile.

Pourquoi l’adoption des Passkeys est-elle limitée ?

Outre la complexité liée à leur implémentation, la principale limitation est la synchronisation des Passkeys sur les différents périphériques de l’utilisateur. Lorsqu’elle est possible, cette synchronisation offre une expérience incroyable ! Cependant, lorsqu’elle ne l’est pas, les Passkeys peuvent créer une grande friction.

Par exemple, j’apprécie énormément m’inscrire sur un site web en utilisant Touch ID sur mon Mac, puis y accéder plus tard magiquement avec Face ID sur mon iPhone. Par contre, si j’utilise un portable Windows et un iPhone, la synchronisation n’est pas possible nativement. Les accès créés sur mon portable ne fonctionneront pas sur mon téléphone.

Quel est l’impact réel sur la sécurité ?

La sécurité d’un système ne peut être plus forte que son maillon le plus faible.

Comme mentionné précédemment, la faiblesse des Passkeys réside dans le fait qu’un écosystème homogène est nécessaire pour en tirer pleinement profit. Cette réalité impose qu’un mécanisme soit mis en place pour retrouver ses accès en cas de perte de Passkey. C’est ce mécanisme qui constitue le maillon faible ! Peu importe le niveau de sécurité des Passkeys, assurez-vous qu’un attaquant ne puisse pas simplement exploiter ce vecteur.

Conclusion

Pour garder ce texte accessible, certains sujets plus techniquement complexes ont été volontairement omis. Si vous avez des questions sur le protocole hybride, les clés résidentes, les attestations ou tout autre sujet, n’hésitez pas à nous contacter 🙂