Simplicité quantique
Dans un précédent article, nous avons expliqué le fonctionnement des clés d’accès, ou passkeys. Nous allons maintenant nous pencher sur leur utilisation, avec plusieurs cas pratiques. Nous verrons également les problématiques qui peuvent se poser dans leur gestion et les améliorations que les éditeurs ont encore à leur apporter.
Avant de commencer, faisons un bref rappel de ce que sont les clés d’accès. Elles sont fondées sur le protocole WebAuthentication et ont été créées pour remplacer les mots de passe. Leur fonctionnement est basé sur le chiffrement à clé publique. Quand le système ou une application génère une clé d’accès, il crée en fait deux clés : l’une publique, stockée sur le serveur, l’autre privée, stockée dans une zone sécurisée sur l’appareil de l’utilisateur.
Les clés d’accès sont faites pour simplifier la connexion aux services : elles ne nécessitent plus de retenir une information. Les mots de passe comportent en effet depuis longtemps des faiblesses inhérentes : ils doivent être complexes, uniques et contenir si possible tous les types de caractères, même spéciaux. On peut utiliser des phrases de passe, mais elles doivent également être uniques, toujours dans l’optique de ne pas pouvoir réutiliser l’information sur plusieurs applications et services.
Puisque les clés d’accès ont été créées au sein de l’alliance FIDO, tous les systèmes des grandes entreprises de la tech les prennent en charge, qu’il s’agisse d’Apple, de Google ou de Microsoft. Nous examinerons également la situation sous Linux. En revanche, les clés d’accès ne sont pas disponibles dans tous les services, y compris de grands groupes tels que Meta. Ainsi, ni Instagram ni Facebook n’y ont droit. En revanche, WhatsApp peut les utiliser.
Un premier cas : WhatsApp
Nous allons commencer par un cas simple, car WhatsApp est essentiellement présent sur un smartphone, qui sert de point de repère. Pour nos manipulations, nous utilisons un iPhone, mais un smartphone Android ne présente aucune différence majeure ici.