PayPal adopte les passkeys, les clés (ou codes) d’accès qui doivent remplacer les mots de passe. Le géant du paiement en ligne débute avec Apple, avant d’élargir son effort à Microsoft (Windows) et Google (Android)

Les mots de passe ne sont pas encore morts, mais la tombe est déjà creusée. On sait déjà le nom du dispositif qui leur succédera : les « passkeys » (clés ou codes d’accès en français). Et on connait dès à présent l’un des premiers services à basculer sur ce nouveau système : il s’agit de PayPal. Le 24 octobre 2022, le géant des paiements en ligne a annoncé commencer la prise en charge des passkeys.

Un déploiement progressif chez PayPal

En fait, PayPal est même l’un des tous premiers à se positionner sur les passkeys, car il s’agit d’un dispositif encore très jeune. L’annonce de l’entreprise coïncide avec l’arrivée des passkeys dans l’écosystème logiciel d’Apple : ces clés d’accès sont disponibles depuis le 24 octobre, avec le déploiement du navigateur Safari en version 16.1 et l’arrivée de macOS Ventura.

Inutile toutefois de vous précipiter sur votre compte PayPal, même si vous avez des produits Apple. Le déploiement démarre aux États-Unis. Pour les autres pays, la société table sur un calendrier à partir de 2023. Ce sera aussi à cette date que la prise en charge des passkeys sera étendue à d’autres plateformes technologiques — en l’occurrence, Android et Windows.

Passkeys
Un exemple d’interface de connexion avec les passkeys, sur Ventura. // Source : Apple

La stratégie avec les passkeys est de proposer une solution universelle et interopérable de remplacement des mots de passe. Pour cela, Apple, Google et Microsoft ont fait alliance ce printemps et chacun planche pour intégrer ces codes dans son environnement. Apple en a parlé début juin lors d’une conférence et Google commence à adapter Android et Chrome.

C’est quoi exactement, des passkeys ?

Le mouvement en faveur des passkeys va au-delà des trois géants de la tech : ces clés sont une norme industrielle créée par l’Alliance Fido et le consortium W3C qui remplace les mots de passe par des paires de clés cryptographiques. PayPal est membre de l’Alliance Fido, comme des pays, et d’autres groupes tech (Amazon, Intel, Facebook, Netflix, Twitter, Sony, Samsung, etc.).

L’arrivée des passkeys ne signifie en aucune façon la fin des mots de passe sur PayPal. La plateforme ajoute juste une solution de connexion supplémentaire, qui se veut plus simple à utiliser et plus sûre, car ces codes ont le mérite de gommer les faiblesses courantes des mots de passe. Libre aux internautes de l’adopter ou non.

Le système proposé par Apple implique des codes d’accès uniques, qui restent sur l’appareil. Ils ne sont jamais stockés sur un serveur web. Ils peuvent circuler entre les différents appareils appartenant à un même individu (iPhone, iPad, Mac…), via du chiffrement de bout en bout et le trousseau iCloud.

Ce mécanisme les met à l’abri d’une fuite de données occasionnée par une intrusion sur un serveur informatique, mais également des tentatives d’hameçonnage (phishing) pour voler des informations de connexion (identifiant / mot de passe) : ils ne peuvent pas être réutilisés. Autre avantage : il n’est pas besoin de les mémoriser, car c’est de la biométrie (Face ID ou Touch ID) qui sera mobilisée.