La puissance des passkeys et leur résilience au phishing
La sécurité IT n’est pas une sinécure. Je ne fais pas uniquement référence à ces tâches sans fin que sont la surveillance, l’application de correctifs ou la formation. Ni à la course contre la montre pour réagir sans tarder aux découvertes de nouvelles vulnérabilités qui se succèdent, ni même à la crainte d’être rappelé d’urgence au bureau pour gérer une crise.
La sécurité IT est une discipline exigeante car elle va bien au-delà des aspects techniques. Votre succès repose sur votre capacité à conseiller, à communiquer et à accompagner les collaborateurs de l’entreprise. Du point de vue de la sécurité, les entreprises les plus efficaces sont celles qui obtiennent l’adhésion de tous, et pas uniquement celles bardées de certifications. Votre capital humain est la première et la plus importante ligne de défense de votre entreprise.
Mais c’est là tout le problème : même les personnes les mieux intentionnées commettent des erreurs. Il suffit d’un clic malheureux ou d’un mot de passe réutilisé pour fragiliser vos mesures de sécurité. La formation contribue à réduire ces risques, mais elle a ses limites. Les équipes de sécurité ont le devoir de protéger tous les utilisateurs, cela va de soi.
Mais cette responsabilité incombe également aux collaborateurs et aux clients, et devient donc collective.
D’après mon expérience, les mesures de sécurité les plus efficaces sont celles qui protègent l’organisation ou l’individu, mais demandent peu d’effort en termes d’utilisation. La praticité favorise la conformité et, partant, la sécurité. C’est là qu’entrent en scène les passkeys.
Que sont les passkeys et pourquoi sont-elles importantes ?
Depuis plus de 50 ans, nous avons recours aux mots de passe pour protéger les systèmes informatiques et les applications contre une utilisation non autorisée. Ils ont rempli leur rôle mais, au fil du temps, leurs faiblesses deviennent de plus en plus apparentes.
Les mots de passe peuvent être volés, devinés ou divulgués. Ils constituent un fardeau pour les utilisateurs, 47 % des consommateurs considérant les multiples exigences à respecter en termes de complexité des mots de passe comme une source de frustration. Le consommateur lambda doit gérer plus de 100 mots de passe pour les applications qu’il utilise, ce qui rend leur réutilisation un problème aussi critique que courant. Si un site web compromis divulgue vos identifiants, un acteur malveillant peut accéder à chaque site ou service que vous utilisez.
Dans un monde parfait, chacun respecterait les pratiques préconisées en matière de mots de passe et utiliserait des mots de passe forts et complexes pour chaque service et site web pour lesquels il possède un compte. Mais c’est loin d’être le cas. D’où la nécessité de se tourner vers une méthode plus performante.
Et c’est là que les passkeys sont très intéressantes. Elles permettent en effet de mettre en œuvre un mécanisme d’authentification sans mot de passe qui est intrinsèquement résistant au phishing, convivial et efficace. Les passkeys remplacent les mots de passe traditionnels par un identifiant cryptographique résidant sur le terminal de l’utilisateur.
Aucun vol ni fuite n’est possible. Les passkeys résident sur le terminal d’un utilisateur ou l’un de ses comptes cloud, et elles sont souvent liées à un autre élément personnel (par exemple des facteurs biométriques comme une empreinte digitale ou la reconnaissance faciale), ou à une information qu’il est le seul à connaître, comme le code PIN de son téléphone.
Avec les passkeys, l’utilisateur n’a plus besoin de mémoriser un long mot de passe respectant le nombre correct de caractères spéciaux et de chiffres. Et comme elles sont générées mathématiquement, on ne peut pas les « deviner ».
Mais surtout, les passkeys sont pratiques. Non seulement il n’est pas nécessaire de les mémoriser, mais elles n’exigent aucun apprentissage particulier. Si vous avez déjà saisi un code PIN dans un smartphone ou que vous vous êtes authentifié dans une application bancaire avec FaceID, vous savez comment utiliser une passkey.
Les passkeys sont des authentifiants FIDO détectables qu’il est possible de synchroniser sur d’autres terminaux d’un écosystème donné. En d’autres termes, la passkey utilisée sur un smartphone peut l’être aussi sur une tablette ou un ordinateur portable, en toute sécurité et commodité. La sécurité, dans ce cas, ne vous impose pas d’employer le même terminal pour tous les services et applications que vous utilisez.
L’importance de la praticité pour les professionnels de la sécurité (et les utilisateurs)
L’identité est souvent la cause profonde d’une brèche de sécurité. En 2022, les attaques de phishing liées à des identifiants ont enregistré une hausse brutale de 61 %. D’après la dernière étude DBIR (Data Breach Investigations Report) de Verizon, 50 % de toutes les attaques abouties étaient imputables à des identifiants volés. Tout simplement parce que les mots de passe ne sont plus adaptés au monde hyperconnecté actuel.
Du point de vue de la sécurité, les passkeys remplacent avantageusement les mots de passe. Leur autre avantage est qu’elles sont très faciles à utiliser, ce qui les rend particulièrement attrayantes. Les professionnels de la sécurité savent depuis longtemps que si une règle ou procédure est trop lourde ou complexe, les utilisateurs trouveront inévitablement le moyen de la contourner.
C’était déjà le cas en 2008, lorsqu’une étude RSA a révélé que, si la plupart des collaborateurs d’une entreprise comprennent la raison d’être des politiques de sécurité de leur organisation, beaucoup sont prêts à les contourner pour accomplir leurs tâches. C’était toujours vrai en 2022, lorsque le magazine Harvard Business Review a constaté que 67 % des collaborateurs enfreignent délibérément la politique de sécurité de leur entreprise, le plus souvent pour des raisons de productivité (pour 85 % d’entre eux).
Et si les utilisateurs ne respectent pas les bonnes pratiques de sécurité dans le cadre de leur travail, quelle probabilité ont-ils de le faire dans la sphère privée, lorsque les enjeux sont apparemment moindres et qu’il n’y personne pour faire respecter les règles ?
C’est ce qui explique en fin de compte pourquoi la commodité et la simplicité d’utilisation sont tellement importantes pour les professionnels InfoSec. Si un collaborateur doit achever un projet dans des délais très serrés, faire une entorse au règlement de sécurité peut sembler un risque acceptable. Du point de vue psychologique, ses besoins immédiats priment sur la nécessité de protéger l’entreprise.
Et dans le cas des applications et services orientés clients que nous utilisons dans notre vie privée, il est probable que nous ne percevons pas le risque associé comme suffisamment important pour respecter à la lettre les bonnes pratiques en matière de mots de passe. Il est facile de se laisser aller à un faux sentiment de sécurité en se convaincant d’être une « cible trop petite » pour intéresser les acteurs malveillants, mais tous les vétérans de la sécurité savent combien il est important de rester vigilant en toutes circonstances.
Mettre en place des règles strictes, organiser régulièrement des formations de qualité et instaurer une culture de la sécurité ne suffisent pas. Il faut dissuader les utilisateurs de prendre des raccourcis susceptibles de mettre en péril l’entreprise.
Il est clair que les passkeys ne règlent qu’une partie du problème. Mais l’identité joue un rôle central dans la structure d’une organisation, surtout compte tenu de la généralisation du télétravail et du travail hybride qui a suivi la pandémie et de la dépendance croissante vis-à-vis des technologies numériques (qui augmentent la surface d’attaque), dans la sphère privée comme dans l’environnement de travail. Il semble donc logique de se concentrer sur la question.
Il ne sera pas difficile de remporter l’adhésion des consommateurs en ce qui concerne l’adoption des passkeys. D’une part, elles éliminent la nécessité (mais aussi la possibilité) de passer outre les bonnes pratiques en matière de mots de passe. D’autre part, les utilisateurs ne seront plus confrontés à la complexité (et à la charge cognitive) de la gestion des identifiants pour un nombre incalculable d’applications, de sites web et de services utilisés au quotidien. Enfin, les passkeys contribuent à éliminer le risque d’erreur humaine qui, d’après Tessian et l’Université de Stanford, représente 85 % de toutes les brèches de sécurité.
J’ai la conviction que les personnes, au lieu d’être considérées comme un maillon faible de la chaîne de sécurité, peuvent au contraire représenter la meilleure défense d’une organisation contre les dangers du monde numérique et connecté. Le problème tient à ce qu’elles ne disposaient pas jusqu’à présent des outils nécessaires pour se protéger correctement, et pour protéger l’entreprise qu’ils représentent.
Un avenir sans mot de passe à l’horizon
J’espère qu’un jour, les mots de passe ne seront plus qu’un lointain souvenir. Pendant un temps, ils ont bien rempli leur fonction, mais comme toutes les technologies obsolètes, ils seront remplacés par une solution plus performante. Je suis convaincue que les passkeys font partie de cette solution.
Toutefois, restons réalistes : la transition vers les passkeys ne se fera pas du jour au lendemain. Même s’il serait inexact de les qualifier de technologie d’avant-garde compte tenu du taux d’adoption rapide par le secteur, elles n’ont pas encore atteint une masse critique.
L’adoption des passkeys sera un processus graduel qui interviendra au cours de la prochaine décennie, voire à plus long terme. Cela étant, il est temps, pour les entreprises, de commencer à s’y intéresser et à adopter les passkeys car tout le travail de fond a déjà été fait.
Google, Microsoft et Apple prennent tous en charge les passkeys dans leurs derniers systèmes d’exploitation mobiles et de bureau. Un nombre croissant d’applications grand public et professionnelles ont implémenté la prise en charge des passkeys, telles que PayPal, eBay, CloudFlare, Dashlane, GoDaddy, etc. Chaque mois voit augmenter le taux d’adoption et nous rapproche d’une acceptation généralisée.
Premiers pas avec les passkeys
L’implémentation des passkeys dans vos propres applications est un objectif facilement réalisable. Okta Customer Identity Cloud (opéré par Auth0) vous permet d’implémenter les passkeys en quelques jours à peine et celles-ci peuvent coexister sans aucun problème avec d’autres méthodes d’authentification pendant la période de transition de vos clients ou utilisateurs.
Au bout du compte, les passkeys contribueront à améliorer la sécurité et la convivialité de l’univers numérique. C’est là une perspective prometteuse. Même si la transition prendra du temps, il faut rappeler qu’avec la prise en charge toujours plus importante des passkeys dans les applications et par les fournisseurs, la sécurité de votre organisation se renforce. Et cet objectif est atteint à l’aide d’un mécanisme que vos clients et collègues n’auront aucune peine à l’adopter. Pour en savoir plus sur les passkeys, téléchargez notre livre blanc.