Apple prévoit de remplacer les mots de passe avec des codes d’accès (Passkeys). Avec l’aide de la biométrie, on pourra utiliser Face ID ou Touch ID sur son iPhone, pour se connecter ailleurs.

C’est à l’occasion de la WWDC 2022 qu’Apple a donné un petit aperçu de ce que sera la fin des mots de passe dans son écosystème. L’entreprise américaine a profité de la présentation de son nouveau système d’exploitation pour ordinateur, macOS Ventura, pour montrer son plan de bataille. Le système s’appelle « Passkeys » — Codes d’accès, en français.

L’idée des Codes d’accès est de fournir une autre manière de s’identifier que les mots de passe. Il s’agit de les remplacer en se servant d’un produit de la marque américaine, comme un iPhone ou un Mac. C’est à travers lui que l’on se connectera. Pour cela, le navigateur web Safari, conçu par Apple, sera mobilisé, notamment.

Passkeys
Un aperçu du fonctionnement de Passkeys. // Source : Apple

Cette nouvelle approche, développe la firme de Cupertino, est perçue comme bien plus sûre, y compris face à « toutes les méthodes habituelles d’authenti­fication à deux facteurs », selon le groupe. L’authentification forte est aujourd’hui la solution la plus conseillée pour le grand public. Elle offre une protection de haut niveau, tout en demeurant commode à employer.

De fait, elle sort le mot de passe de l’équation de la sécurité informatique. Ce faisant, cela neutralise les attaques reposant dessus, comme l’hameçonnage (phishing), qui consiste à berner un particulier pour qu’il donne son identifiant et son mot de passe, mais aussi l’ingénierie sociale, qui a le même objectif, et les fuites de bases de données contenant ce type de codes.

Ventura est la première plateforme d’Apple à gérer le support des codes d’accès, via Safari. Mais on devine que les Passkeys ont vocation à se propager dans le reste de l’écosystème, d’autant que les briques sur lesquelles ce système repose sont déjà en place, ou presque. Safari est disponible sur tous les appareils Apple et la biométrie est aussi largement déployée.

WWDC 2022 – June 6 _ Apple 1-22-42 screenshot
La promesse des codes d’accès : en finir avec certaines menaces informatiques.

Apple entend mobiliser la biométrie pour tourner la page des mots de passe

Les codes d’accès vont mobiliser la biométrie à la place du mot de passe. La biométrie consiste à utiliser des paramètres physiologiques pour vérifier si une personne a le droit ou non d’accéder à telle ou telle ressource. Pour Apple, cela passe par la lecture d’une empreinte digitale (Touch ID) ou la reconnaissance faciale (Face ID).

Ces solutions figurent de longue date dans les produits les plus populaires d’Apple, avec l’iPhone ou l’iPad. L’idée, en somme, est de servir de l’un ou l’autre, non pas pour déverrouiller son terminal, mais de se connecter à son Mac, à un site web ou bien à une application. Si les codes d’accès doivent remplacer les mots de passe, il leur faut donc être exploitables partout.

En théorie, les codes d’accès régleraient aussi le problème de la mémorisation des mots de passe : plus besoin de faire un effort intellectuel, puisqu’il n’y a plus rien à retenir. Tout passe par vos caractéristiques physiques, que vous n’avez pas besoin de réciter. Il suffit juste de les lire. C’est très simple sur le papier. Et c’est un sujet redoutable pour les gestionnaires de mots de passe.

La bascule vers plus de biométrie soulève des questions sensibles, car si le mot de passe est un élément sensible, un paramètre biométrique est une donnée critique. Il est courant de dire que si un mot de passe est piraté, il suffit de le remplacer dans la foulée. Pour la biométrie, on ne peut changer son visage, ses empreintes digitales, son iris ou sa voix.

Face ID avec un masque est une nouveauté d'iOS 15.4.
Apple a fait évoluer Face ID avec les circonstances de la pandémie de covid. // Source : Numerama

Évidemment, Apple a pris soin de limiter au maximum les risques de piratage. « Les données de Face ID ne sortent jamais de l’appareil et ne sont jamais sauvegardées sur iCloud ni ailleurs », rappelle la société. Dans le cas de la reconnaissance faciale, qui a été introduit avec l’iPhone X, c’est à partir d’une représentation mathématique du visage que la comparaison est faite.

Apple prévoit aussi d’ériger des barrières pour protéger ces codes d’accès. Ils ont vocation à demeurer sur l’appareil (par exemple l’iPhone) : ils ne sont jamais stockés sur un serveur web. Ils ont la possibilité de circuler entre les différents appareils appartenant à un même individu (iPhone, iPad, Mac, Apple TV), via du chiffrement de bout en bout et le Trousseau iCloud.

Les assertions d’Apple seront certainement mises à l’épreuve dans les jours, les semaines et les mois qui viennent, quand le système se démocratisera et que des spécialistes de sécurité informatique ou des personnes plus malveillantes tenteront d’échafauder des stratégies pour mettre à mal les codes d’accès — en exploitant des vulnérabilités logicielles ou matérielles.

Les codes d’accès sont des clés numériques uniques qui restent sur l’appareil et ne sont jamais stockées sur un serveur web

Apple

Mais si le risque zéro n’existe pas en informatique, la balance risque-bénéfice est susceptible de pencher en faveur des Passkeys. Par rapport au panorama actuel des mots de passe, qui sont dérobés, volés, trop faibles, trop communs, trop similaires entre eux, les codes d’accès paraissent présenter une exposition moindre — en tout cas bien moindre que les mots de passe.

Ce sera à juger sur pièces. Toujours est-il que les codes d’accès ont d’autres mérites : ils se veulent très accessibles et simples d’utilisation. Ils paraissent générer moins de friction lors de la connexion à un service, à un terminal, un site ou une appli. Ils peuvent même servir à verrouiller quelque chose de très banal, comme une note sur Mac, sans avoir à créer (et à retenir) un autre mot de masse.

Ce plan n’est pas une lubie solitaire d’Apple. Il s’inscrit en fait dans un plan plus large qui mobilise d’autres géants de la tech, à commencer par Microsoft (Windows) et Google (Android). D’autres, comme Amazon, Intel, Facebook, Lenovo, Mastercard, PayPal, Qualcomm, Thales, Samsung, Yahoo, Visa, ARM, eBay, Huawei, Netflix, Sony et Twitter, sont aussi sur le coup.

Début mai, Apple, Google et Microsoft ont annoncé l’union de leurs forces pour faire émerger plus vite un monde sans mots de passe. Les trois géants ont convenu que pour cela, il faut que ces clés numériques uniques puissent être utilisées au-delà de chaque écosystème. En somme, un iPhone permettrait de déverrouiller un PC sous Windows. Et ainsi de suite.