Dashlane, 1Password, LastPass, Bitwarden… les gestionnaires de mots de passe amorcent un virage pour se préparer à l’arrivée des passkeys et à la disparition des mots de passe.

C’est l’une des dernières annonces en date et elle vient de l’un des ténors du secteur : le gestionnaire de mots de passe 1Password a fait savoir qu’il se prépare lui aussi à basculer dans un monde sans mots de passe. Précisément, l’entreprise a exprimé sa conversion future aux « passkeys », aussi appelées « clés d’accès » ou « codes d’accès », et même « clés d’identification ».

« Les Passkeys arrivent dans 1Password. Déverrouillez une nouvelle approche plus simple de la connexion qui fonctionne où que vous soyez — sur n’importe quel appareil, partout dans le monde. Nous sommes heureux de partager avec vous aujourd’hui un aperçu de notre avenir sans mot de passe », lance le groupe dans un message publié sur Twitter le 17 novembre 2022.

passkey paypal
Un exemple d’intégration de passkey sur PayPal. // Source : PayPal

Les passkeys constituent un procédé innovant pour se connecter à son compte, que ce soit un site web ou bien une application. À vrai dire, c’est presque comme un mot de passe, mais son fonctionnement et sa manipulation reposent sur des fondations différentes — par exemple, il n’est pas nécessaire de les mémoriser. En outre, les passkeys mobilisent des mécanismes cryptographiques.

Les passkeys ont vocation à remplacer les mots de passe à (très) long terme, car ils présentent plusieurs avantages : en plus d’une charge mentale en moins (fini le casse-tête de la mémorisation), les passkeys sont globalement plus robustes que le mot de passe standard et ne prêtent le flanc ni aux fuites de données ni au phishing.

Les passkeys exploitent des paires de clés cryptographiques. Une clé est privée (on la garde secrète, par exemple, sur son smartphone) et une autre est publique (c’est celle que l’on distribue). C’est le principe de la cryptographie asymétrique, que l’on retrouve dans les services ayant du chiffrement de bout en bout, tels WhatsApp et Signal.

Les gestionnaires n’ont pas encore dit leur dernier mot (de passe ;-))

Les passkeys sont une bonne nouvelle d’un point de vue de la sécurité informatique. On sait bien que tout le monde fait n’importe quoi avec les mots de passe en choisissant des codes beaucoup trop faibles. Mais, pour les gestionnaires de mots de passe, un monde sans mots de passe pose un problème de fond : à quoi serviront-ils dans ce monde-là ?

Il n’est pas surprenant de voir 1Password annoncer cette transition, car il s’agit fondamentalement de s’adapter ou de mourir. La plateforme a d’ailleurs mis en ligne une page dédiée pour présenter sa vision, pour expliquer de quelle façon elle va sauter dans le train et pour expliquer que, oui, les gestionnaires de mots de passe resteront nécessaires.

1Password n’est pas le seul à vouloir survivre. Dans le sous-Reddit dédié à Bitwarden, un autre gestionnaire de mots de passe, un salarié est intervenu fin septembre pour confirmer que « l’équipe travaille déjà sur le support des passkeys ». Les autres concurrents sont sur cette ligne. On peut citer LastPass et Dashlane qui communiquent aussi sur ce futur sans mots de passe.

gestionnaire mots de passe code
Les gestionnaires de mots de passe vont devoir s’adapter pour survivre aux passkeys. // Source : Adèle Foehrenbacher pour Numerama

Si LastPass ne cite pas ces passkeys, le groupe dit « être profondément engagé en faveur d’un avenir sans mots de passe basé sur des normes et soutenu par la FIDO », une alliance qui travaille juste sur cette initiative. Pas le choix : « la technologie sans mots de passe est développée et adoptée par l’ensemble de l’industrie », constate la société.

Du côté de Dashlane, les choses sont claires : lui aussi s’y met. « Notre support pour les passkey est en phase bêta », lit-on dans une page support. D’ailleurs, la société ajoute qu’elle est « maintenant le premier gestionnaire de mots de passe à offrir une extension qui fonctionne avec les clés d’accès ». Inutile toutefois de se précipiter : le support des passkeys sur le web est encore très rare.

Alors, les gestionnaires de mots de passe seront-ils encore utiles lorsque ces codes d’accès seront partout ?

Les intéressés répondront évidemment par l’affirmative, ne serait-ce que pour stocker ces fameuses clés privées, qui doivent absolument rester secrètes. Mais, au-delà, ces logiciels peuvent demeurer utiles aussi pour les autres services qu’ils proposent — surveillance de votre mail sur le dark web, stockage en sécurité de vos notes personnelles, accès à un service de VPN