Introduction aux passkeys, alternative avantageuse aux mots de passe

L’identité ne doit jamais constituer une barrière entre vous et vos clients. Pourtant, le récent rapport d’Okta Customer Identity Trends Report a révélé que :

  • 33 % des personnes interrogées indiquent ressentir de la frustration lorsqu’elles doivent créer un mot de passe respectant un certain nombre de critères. 
  • 63 % des répondants ont confié qu’au moins une fois par mois, ils sont dans l’incapacité de se connecter à un compte car ils ont oublié leur nom d’utilisateur ou mot de passe.

En dépit de ces frustrations, les mots de passe restent l’une des formes les plus courantes d’authentification en ligne, même s’ils sont peu pratiques et peu sûrs. 

En réaction à la prolifération des mots de passe, l’authentification sans mot de passe (passwordless) a gagné du terrain ces dernières années, adoptée par les entreprises qui y voient un moyen sûr et plus pratique de protéger leurs clients. L’innovation la plus récente dans ce domaine est constituée par les passkeys, que l’on doit à la FIDO Alliance

La situation a beaucoup évolué depuis leur introduction, en termes de nomenclature et de disponibilité. En revanche, il reste encore beaucoup à faire pour expliquer en quoi consistent les passkeys, comment elles fonctionnent et quels sont leurs avantages. 

Cet article vise à faire toute la lumière sur cette technologie émergente et innovante.

Passkeys : de quoi s’agit-il ?

Les passkeys remplacent les mots de passe par des « méthodes plus rapides, faciles et sécurisées pour se connecter aux sites web et aux applications sur les terminaux d’un utilisateur », selon l'alliance FIDO. Ajoutons à cette définition qu’à la différence des mots de passe, « les passkeys sont toujours fortes et résistantes au phishing ». 

Dès lors que les passkeys remplacent les mots de passe, elles sont considérées comme une forme d’authentification sans mot de passe. 

En termes plus techniques, une passkey est une paire de clés cryptographiques — l’une publique, destinée à votre organisation, et l’autre privée, destinée à un utilisateur connu. Il faut surtout retenir qu’il s’agit d’une clé privée, car votre organisation ne la voit jamais. Ces paires de clés jouent un rôle critique dans l’authentification d’un utilisateur, mais nous y reviendrons un peu plus loin.  

Les passkeys se présentent sous deux formes :

  • Les passkeys synchronisées entre les différents terminaux d’un utilisateur via un service cloud, tel qu'un écosystème de système d’exploitation ou un gestionnaire de mots de passe. Pour les clients, l’avantage réside dans le fait qu’il est possible d’utiliser la même passkey sur plusieurs terminaux dans un écosystème donné.  
  • Les passkeys liées au terminal ne quittent jamais le terminal sur lequel elles ont été générées. Elles peuvent être utilisées sur des clés de sécurité FIDO, y compris celles ayant obtenu une certification de sécurité.

L’expérience est fluide, particulièrement dans le cas des passkeys synchronisées : le mode d’accès est similaire à celui employé pour déverrouiller un terminal mobile, à savoir avec un facteur biométrique, un code PIN ou un schéma à dessiner. 

Fonctionnement des passkeys

Comme nous l'avons mentionné précédemment, les passkeys s’appuient sur la cryptographie à clé publique pour l’authentification, et non sur les mots de passe. Cette approche est nettement plus sûre, car aucun secret partagé (mot de passe) n’est transféré au serveur d’applications. À la place, elle utilise une paire de clés publique/privée pour s’authentifier dans l’application. La clé publique est stockée sur le serveur de l’application (au lieu du mot de passe) et la clé privée correspondante est conservée sur le terminal de l’utilisateur. L’avantage est que la clé privée n’est pas partagée avec l’application comme c’est le cas d’un mot de passe.

Dans ce modèle, lorsqu’un utilisateur tente de se connecter, au lieu de vérifier son identité avec un mot de passe, le serveur envoie une demande d’authentification numérique qui ne peut être résolue qu’en apportant la preuve qu’il est le propriétaire de la clé privée. Il utilise pour cela un mécanisme de déverrouillage de terminal, par exemple la biométrie, un code PIN ou un schéma à dessiner sur un téléphone, une tablette ou un ordinateur portable. Après le déverrouillage, la clé privée « signe » la demande d’authentification et la renvoie au serveur afin qu’elle soit validée par la clé publique. 

Du point de vue de l’expérience utilisateur, notez que toute la complexité cryptographique (et les avantages de sécurité) intervient en arrière-plan. La méthode est tout aussi pratique qu’un simple déverrouillage de terminal.  

Avantages des passkeys

Les passkeys améliorent à la fois la praticité et la sécurité. 

En ce qui concerne les clients qui accèdent à votre application, vous pouvez améliorer les taux de conversion grâce à des expériences d’inscription et de connexion simples, tout en renforçant la fidélité en proposant des niveaux de sécurité très élevés. 

Comme elles sont basées sur les standards FIDO , les passkeys sont expressément conçues pour mieux résister aux attaques de phishing et autres, pour lesquelles les acteurs malveillants utilisent des communications écrites (e-mail, SMS ou sites web trompeurs) pour se faire passer pour une source digne de confiance et voler les identifiants d’un utilisateur. 

Rappelons également qu'avec les passkeys, les organisations peuvent tirer parti d’une technologie existante et courante, bien connue des consommateurs. Une approche normalisée permet aux consommateurs qui utilisent des appareils de l'écosystème Apple, Google ou Microsoft de créer et d'accéder à un passkey de la même manière qu'ils déverrouillent leurs appareils. 

Intéressons-nous de plus près aux avantages en termes de sécurité et d’expérience utilisateur. 

Avantages en matière de sécurité

  • Résistance au phishing : CNBC a rapporté une augmentation de 61 % des attaques de phishing en 2022. Les passkeys bloquent les attaques de social engineering car elles ne fonctionnent que sur le site web pour lesquels elles ont été créées. 
  • Sécurité renforcée contre les brèches de données : les bases de données constituent une cible de choix pour les cybercriminels, car elles contiennent souvent des mots de passe et d’autres données à caractère personnel. Comme aucun secret partagé (mot de passe) n’est échangé, les serveurs de votre entreprise n’ont plus le même attrait pour les cybercriminels cherchant à voler des identifiants.
  • Sécurité renforcée par défaut : à la différence des mots de passe, les passkeys sont toujours fortes et impossibles à deviner ou à voir. Elles sont dès lors moins exposées aux attaques de social engineering.

Avantages en matière d’expérience utilisateur  

  • Création de comptes sans mot de passe : les passkeys peuvent améliorer les taux de conversion en permettant de passer du statut « utilisateur inconnu » à celui de « client connu », sans mot de passe. D’après les données de Google, les utilisateurs qui s’authentifient avec des passkeys sont 4 fois plus susceptibles de devenir des clients. 
  • Évolutivité sur tous les terminaux : les consommateurs peuvent interagir avec votre marque de plusieurs façons. Les passkeys améliorent la fluidité de l’accès en permettant aux consommateurs d’utiliser la même passkey sur plusieurs terminaux au sein d’un écosystème donné. À la différence des mots de passe, ils ne créent une passkey qu’une seule fois et peuvent l’utiliser partout. 
  • Moins de mots de passe, moins de raisons d’abandonner : 83 % des clients abandonnent la création d’un compte en raison de politiques de mots de passe rébarbatives. Avec les passkeys, vous pouvez améliorer l’engagement et la rétention des utilisateurs en éliminant la saisie d’une chaîne de caractères, un processus fastidieux et peu sécurisé.

Amélioration de la flexibilité grâce aux passkeys

En résumé : 

  • Les passkeys représentent une méthode alternative aux mots de passe proposée par l'Alliance FIDO.
  • Grâce à elles, il n’est plus nécessaire de mémoriser des mots de passe complexes.
  • Elles permettent aux utilisateurs de se connecter de la même façon qu’ils déverrouillent leurs terminaux mobiles.
  • Elles renforcent la sécurité grâce à leur résistance au phishing. 
  • Elles réduisent les points de friction et améliorent ainsi les taux de conversion. 

C’est pour toutes ces raisons que le secteur de la sécurité trouve tant d’attrait aux passkeys.

Mais il convient d’adopter une perspective plus large. Si Okta, comme d’autres, est enthousiaste vis-à-vis des possibilités qu’offrent les passkeys, les entreprises doivent répondre aux attentes des utilisateurs, quelle que soit leur méthode d’authentification de prédilection. Il est donc capital de pouvoir satisfaire un ensemble de besoins variés. 

Certains fournisseurs de services comme Apple et Google ont intégré au sein de leurs produits une procédure de connexion particulièrement flexible. Lorsque les passkeys sont activées au sein d’une plateforme CIAM robuste, vous pouvez offrir une flexibilité similaire, entre les différents terminaux et plateformes.

Notre objectif est de continuer à répondre à un éventail toujours plus large d’exigences afin d’aider les entreprises à proposer à leurs clients des méthodes d’authentification qui leur conviennent. Okta prend en charge plusieurs formes d’authentification (y compris les passkeys) en configuration par défaut et adhère aux valeurs fondamentales attendues d’une plateforme de gestion des identités clients en matière d’autorisation, de gestion des utilisateurs et de sécurité des identités. Plateforme extensible et conviviale, Okta Customer Identity Cloud offre aux développeurs et aux équipes digitales les outils dont ils ont besoin pour protéger les utilisateurs et leur offrir une expérience optimale.

Envie de savoir comment votre entreprise peut utiliser le CIAM pour sécuriser un avenir sans mot de passe avec les passkeys ? Contactez-nous pour en savoir plus.

– 

Pour les documents abordant des notions de droit/confidentialité ou proposant des conseils en matière de confidentialité/sécurité :

Le présent document et toute recommandation qu’il propose ne constituent pas des conseils juridiques, commerciaux, ou encore de confidentialité, sécurité et conformité. Le contenu de ce document revêt un caractère purement informatif et pourrait ne pas refléter les normes de sécurité, de confidentialité et les réglementations les plus récentes, ou tous les problèmes pertinents. Pour obtenir de tels conseils, il vous revient de vous adresser à votre conseiller juridique ou à tout autre conseiller professionnel en matière de sécurité, confidentialité ou conformité, et de ne pas vous en remettre aux recommandations formulées dans le présent document. Okta ne formule aucune déclaration, garantie ou autre assurance concernant le contenu de cet article. Pour en savoir plus sur les assurances contractuelles d’Okta à ses clients, rendez-vous à cette adresse okta.com/agreements.