Publicité

Le rêve d'un Internet sans mot de passe

Le système Passkey proposé par Apple ou Google permet de s'authentifier en ligne de façon simple et sécurisée. Mais d'autres travaux de spécialistes de sécurité informatique cherchent moins à supprimer le mot de passe qu'à le renforcer par des techniques complémentaires.

Cet article est extrait du mensuel Sciences et Avenir - La Recherche n°913, daté mars 2023.

La vie sans mot de passe… C'est le rêve de tout internaute : ne plus avoir à créer et à saisir ces sempiternelles combinaisons de lettres, de chiffres et de caractères spéciaux, selon les recommandations des spécialistes de sécurité informatique. Or, entre le commerce électronique, les réseaux sociaux, l'administration, les banques ou les assurances en ligne, l'utilisateur actuel d'Internet doit faire avec des dizaines de comptes personnels. Impossible de mémoriser tous les mots de passe correspondants, à moins de se servir plusieurs fois du même, ce qui est la dernière chose à faire pour éviter de se faire pirater trop facilement.

C'est dans ce contexte qu'Apple a lancé Passkey, à l'occasion du déploiement, en septembre 2022, d'iOS 16, dernière version de son système d'exploitation mobile. La promesse ? Fini le mot de passe ! Ce système d'authentification était en fait en préparation depuis des années au sein de l'alliance Fido, regroupant des industriels des technologies (Meta, Amazon, Intel, Microsoft, Paypal, Google…) autour de la définition de standards d'authentification. Il a aussi été adopté par Google pour les mobiles Android et les navigateurs Chrome, par Microsoft ou encore Paypal.

Lorsque l'utilisateur s'inscrit sur un service en ligne ou une application mobile ayant adopté Passkey, deux clefs cryptographiques spécifiques au service en question sont générées. L'une, la clef privée, reste dans un espace verrouillé et chiffré de l'appareil de l'utilisateur. L'autre, la clef publique, est stockée sur un serveur du service, mais n'est ni secrète ni cachée.

Chaque demande d'accès prend la forme d'un défi cryptographique. C'est-à-dire que la clef publique du service en ligne crée un problème mathématique qui ne peut être résolu qu'avec la clef privée. Pour appeler cette dernière, l'utilisateur déverrouille d'abord son appareil selon sa méthode habituelle (code PIN, empr[...]

Lire la suite sur sciencesetavenir.fr

A lire aussi