À l’occasion de la conférence WWDC, Apple a présenté une nouvelle technologie d’authentification censée inaugurer un futur sans mots de passe. Pour chaque service en ligne ou application compatible, les nouveaux systèmes d’exploitation d’Apple vont proposer à l’utilisateur de générer un « Code d’accès » (ou « Passkey » en anglais) qui permettra de se connecter sans utiliser de mot de passe. Ce code d’accès est sauvegardé dans le trousseau de clés d’iCloud et donc accessible depuis n’importe quel « iDevice » de l’utilisateur, qu’il fonctionne sous iOS, iPadOS, macOS, tvOS ou watchOS.
La procédure de connexion fonctionne également depuis des terminaux non Apple, à condition d’avoir un iPhone sous la main. Comme on pouvait le voir lors de la conférence, il suffira alors de scanner un QR code pour enrôler le téléphone. Par la suite, il suffira de valider la connexion par l’intermédiaire de Touch ID ou de Face ID.
Derrière cette nouvelle technologie se cache, en réalité, le consortium FIDO Alliance, qui tente depuis quelques années d’imposer son standard d’authentification sans mots de passe. Le niveau de sécurité est nettement supérieur, car il utilise un protocole de cryptographie asymétrique pour valider les connexions, ce qui le rend insensible aux attaques de phishing.
Toutefois, l’utilisateur qui veut se connecter à un service en ligne doit d’abord procéder à un enrôlement qui consiste à générer dans un appareil « authentificateur » — un navigateur, un smartphone, une montre connectée, etc. — une clé privée et une clé publique. La clé publique est transmise au fournisseur de service et la clé privée reste stockée dans le terminal. Lorsque l’utilisateur veut se connecter, il envoie un message d’authentification signé avec la clé privée au fournisseur de service, qui pourra vérifier la signature avec la clé publique.
Le soucis, jusqu’à présent, c’est que la procédure d’enrôlement était trop fastidieuse : il fallait générer des clés privées pour chaque service et chaque terminal que l’utilisateur possédait. C’est pourquoi la FIDO Alliance a créé une nouvelle version de son standard. Baptisée « Multidevice FIDO », elle permet de relayer la procédure de connexion vers un appareil authentificateur, ce qui simplifie l’usage. Et c’est exactement ce que l’on voit dans la conférence d’Apple.
Pour autant, arrivera-t-on vraiment à « remplacer les mots de passe pour de bon », comme l’espère Darin Adler, vice-président Internet Technologies chez Apple, lors de la keynote. Rien n’est moins sûr à l’heure actuelle, car il faudra que les fournisseurs de services jouent le jeu et implémentent cette technologie d’authentification de leur côté.