Apple Passkey: Warum im Internet alle davon profitieren werden

Combien de temps mettez-vous dans vos mots de passe ? Créez-vous de nouvelles clés de sécurité chaque année et faites-vous attention à la sécurité des séquences de caractères et de chiffres ? Probablement pas, car chaque année, les sociétés de sécurité trouvent dans leurs bases de données des mots de passe bien trop peu sûrs. La plupart des mots de passe sont trop simples, ne changent jamais et peuvent être déchiffrés en quelques minutes.

C’est aussi simple d’utiliser les Passkeys d’Apple. / © Apple / Capture d’écran : NextPit

Il est donc louable qu’Apple ait annoncé Passkeys, une nouvelle méthode d’authentification destinée à remplacer les mots de passe. Sur le web, le nouveau procédé est fortement lié à l’écosystème Apple, c’est dommage. Avec les clés de sécurité, Apple n’a présenté que sa propre façon de gérer les nouvelles informations d’identification WebAuthn.

Pourquoi les “passkeys” ne concernent pas que les utilisateurs d’Apple

C’est vrai – les “passkeys” ne sont pas une invention exclusive à Apple, même si cela ressemblait beaucoup à la WWDC 2022. Ils sont la marque interne d’Apple pour un nouveau type d’identifiant de connexion développé par l’Alliance FIDO. Bien qu’Apple ne fasse pas partie de l’alliance, il dit avoir travaillé avec Google et Android, entre autres, et utilise les normes FIDO pour les clés de sécurité. Tôt ou tard, presque tous les internautes bénéficieront des Passkeys.

WWDC 2022 d'Apple

Les “mots de passe” sont synchronisés entre les appareils Apple, mais ne sont pas exclusifs à Apple. / ©Pomme ; Capture d’écran : Next Pit

L’idée de base est d’utiliser des clés de sécurité au lieu de mots de passe pour les connexions. Du point de vue de l’utilisateur, les connexions sont alors sécurisées grâce à des procédures biométriques qui permettent de comparer la clé de sécurité avec le serveur. Si vous utilisez actuellement déjà Face ID et Touch ID pour activer votre trousseau iCloud, la manipulation ne changera pas tant que ça.

Même si les connexions iOS d’aujourd’hui sont à peu près aussi pratiques que l’utilisation ultérieure de clés de passe, il y a un inconvénient majeur. Actuellement, vous autorisez uniquement le trousseau iCloud à copier votre mot de passe dans le masque de connexion. De là, il est ensuite transmis à l’opérateur du serveur. Il existe toujours un risque que vos mots de passe soient espionnés via des attaques man-in-the-middle (ci-après « MITM ») ou autrement.

Le phishing, c’est-à-dire le vol de mots de passe en simulant une urgence de service super importante ou d’autres tactiques d’ingénierie sociale, est également possible avec cette méthode. Vous pouvez actuellement copier assez facilement les mots de passe du trousseau et les coller dans n’importe quel e-mail si vous êtes victime d’une arnaque.

C’est pourquoi les clés d’accès et leur gestion par Apple sont si sécurisées

D’une certaine manière, l’utilisation de clés de sécurité protège même contre l’erreur proverbiale assise devant l’écran. À leur niveau le plus élémentaire, ils reposent sur deux clés de sécurité – une publique et une privée. La clé publique réside sur le serveur après la configuration, tandis que la clé privée reste toujours sur l’appareil utilisé pour la connexion. Le point culminant réside dans les mathématiques sur lesquelles la méthode est basée.

Capture d'écran NordVPN

La meilleure façon de prévenir les attaques MITM pour le moment est d’utiliser des fournisseurs de VPN. / © NextPit

Parce que, comme l’écrit Popular Science, il a été conçu de manière à ce que la clé privée n’ait pas à être transmise au serveur lors de la tentative de connexion. Cela protège votre mot de passe même en cas d’attaques MITM ou de piratages réussis sur l’entreprise. les serveurs. Les clés d’accès sont basées sur la norme WebAuthentification (WebAuthn), qui est utilisée depuis un certain temps pour les connexions sans mot de passe sur le réseau.

Alors si tout cela est déjà disponible, pourquoi tout le monde agit-il comme si Apple avait réinventé le mot de passe ?

Pourquoi tout le monde agit-il comme si Apple avait réinventé le mot de passe ?

Hé, bonne question ! Ce que vous pouvez vraiment donner à Apple, c’est qu’ils sont les premiers à utiliser des clés d’accès sur tous les appareils. En même temps, ils proposent une interface de programmation, une API, pour leurs clés de sécurité. Afin de permettre l’enregistrement via des clés d’accès, les sites Web et les services doivent bien sûr d’abord créer les conditions. Étant donné qu’Apple propose ses nouveaux systèmes d’exploitation iOS 16, watchOS 9, iPadOS 16 et macOS 13 en tant que développeurs bêta six mois avant leur lancement, ils pourraient être disponibles dans de nombreux endroits au début. Dans tous les cas, Apple a présenté ses propres informations d’identification WebAuthn à la WWDC 2021.

Les clés de passe sont également liées en permanence au trousseau iCloud. Vous pouvez y accéder depuis n’importe quel appareil Apple sur lequel vous êtes enregistré avec votre identifiant Apple. Étant donné qu’Apple utilise un cryptage de bout en bout pour son trousseau de clés et, selon le site d’assistance, ne connaît pas la clé de sécurité elle-même, il existe un endroit sûr pour stocker les clés d’accès.

Le système est également protégé par une authentification à deux facteurs. Ainsi, si vous souhaitez enregistrer un nouveau mot de passe, vous devez à nouveau confirmer ce processus sur un appareil Apple ou via le navigateur Web en saisissant un code à six chiffres.

Apple n’a en aucun cas (ré)inventé la connexion sans mot de passe, mais l’a simplement mise en œuvre intelligemment et en toute sécurité. De plus, les appareils Apple sont si répandus que l’avancée des “Cupertino’ans” sera une bonne incitation pour les services et les sites Web à passer enfin à WebAuthn.

Les clés de passe rendent-elles le passage à Android et Windows impossible ?

Cependant, l’évolution d’Apple vers Passkey m’a un peu inquiété pendant la diffusion en direct. Il semblait donc qu’Apple recouvrirait à nouveau son “jardin clos” de méthylane. L’introduction des clés de sécurité ne rend-elle pas presque impossible l’utilisation d’appareils non Apple ou la possibilité d’échapper au cosmos Apple d’une autre manière ?

Bien qu’il ne soit pas encore tout à fait clair à quel point l’intégration des Passkeys d’Apple sera complète, il y a trois arguments contre mes craintes.

Démonstration par Apple des clés de passe sur un ordinateur portable Windows.

À l’avenir, vous pourrez également utiliser des codes QR pour vous connecter aux appareils Windows à l’aide d’un mot de passe. / © Apple / Capture d’écran : NextPit

1. : Lors de la conférence des développeurs, Apple a brièvement montré comment les connexions sur des appareils non Apple seront possibles. Un code QR peut être vu sur l’écran d’un ordinateur portable Windows, que vous devez scanner avec un appareil Apple pour vous connecter. Il sera également possible de se connecter sous Windows et Android – mais vous devez avoir votre iPhone ou iPad avec vous pour ça.

2 : : Vous pouvez déjà accéder au trousseau iCloud sous Windows. Tout ce que vous avez à faire est d’installer l’application iCloud et vous verrez alors un programme correspondant sur votre PC. Le déverrouillage fonctionne via le propre service d’authentification de Windows, Windows Hello, et donc également via des procédures de connexion biométriques. Cependant, je doute que le système d’Apple soit suffisamment sécurisé pour ses clés de sécurité. Parce que comme solution de repli, Windows s’appuie sur un code PIN, qui, dans le pire des cas, ne se compose que de quatre chiffres.

3 :: Comme déjà mentionné, le standard WebAuthn n’appartient pas à Apple et sera certainement utilisable nativement avec Android, Windows et d’autres systèmes d’exploitation à l’avenir. Ainsi, vous pouvez attribuer de nouvelles clés de sécurité pour les connexions afin d’accéder aux sites Web. Même si celles-ci s’écartent des touches synchronisées d’Apple, cela ne fait aucune différence pour la manipulation après la configuration – vous ne vous connectez qu’avec le capteur d’empreintes digitales ou la reconnaissance faciale de toute façon.

Conclusion : les clés de sécurité sont révolutionnaires, mais pas d’Apple

Résumons à nouveau les développements. Indépendant d’Apple, WebAuthn rendra les connexions sur le Web plus sûres. Après bien trop longtemps, nos données ne dépendent plus du temps ou de l’intelligence que nous consacrons à la maintenance de nos mots de passe. De plus, la norme apporte une protection fiable contre le phishing, le piratage et même contre les entreprises auxquelles nous souhaitons nous connecter.

Apple fait un grand pas en avant et est la première entreprise à introduire le service sur tous les appareils. Dans le même temps, l’entreprise utilise les avantages de son écosystème fermé pour rendre les connexions via des clés d’accès sécurisées et pratiques.

Le fait qu’Apple fasse de l’introduction des mots de passe un sujet important lors de sa conférence des développeurs et se passe de son propre nom est également une décision brillante. D’une certaine manière, Apple récolte les lauriers que l’Alliance FIDO a semés et cultivés en collaboration.

Car si Android ou Windows annoncent la prise en charge des clés d’accès dans un futur proche, le public l’associera certainement à Apple.

Touche, Apple. Touché !

Sources:

Leave a Comment