Actuellement, il existe un moyen principal de sécuriser l'accès en ligne: le nom d'utilisateur et le mot de passe. Cependant, même si nous créons un mot de passe long, compliqué et complexe, il reste une faiblesse clé dans cette configuration de sécurité: l'utilisateur.
Des millions de personnes ont déjà été victimes de sites de phishing, d'ingénierie sociale et d'autres formes d'attaques qui compromettent les mots de passe. C'est pourquoi Apple souhaite supprimer le mot de passe et le remplacer par des clés de sécurité.
Alors, comment les clés d'authentification Apple résolvent-elles le problème du mot de passe ?
Qu'est-ce que la norme d'authentification Web (WebAuthn) ?
Cette norme est publiée par le World Wide Web Consortium (W3C), une organisation dédiée à la création de protocoles et de lignes directrices pour le développement Web à long terme. En développant cette nouvelle technologie d'authentification, le groupe espère réduire notre dépendance aux mots de passe comme principal ou unique moyen de protéger nos données.
Apple est également membre du W3C et intègre la norme WebAuthn dans les clés de sécurité Apple. Cette fonctionnalité fonctionne également avec iCloud Keychain, de sorte que les personnes qui utilisent déjà ce service n'ont pas besoin de migrer leur système.
En mettant en œuvre l'API WebAuthn, les développeurs Web et les fabricants d'appareils garantissent une authentification qui fonctionnera sur différents systèmes. Ainsi, que vous soyez sur Android, iOS, Mac ou Windows, ce système sans mot de passe devrait fonctionner.
Comment les clés de sécurité Apple vous protègent-elles ?
La plupart d'entre nous se sont appuyés sur le nom d'utilisateur et les mots de passe à un moment donné. Vous le faites probablement encore en ce moment. Mais les mots de passe peuvent être facilement piratés, surtout si l'utilisateur n'a pas de mot de passe sécurisé ou s'il est victime d'ingénierie sociale.
La combinaison traditionnelle du nom d'utilisateur et du mot de passe signifie également que ces informations sont stockées en ligne. Ainsi, si le service que vous utilisez, comme Twitch par exemple, est piraté, l'attaque compromet les données et plus encore. Si vous réutilisez votre nom d'utilisateur et votre mot de passe, ce que beaucoup font mais nous vous déconseillons, vos autres comptes sont également à risque.
Authentification à deux facteurs (2FA) a été développé pour résoudre ce problème. En ajoutant une autre couche de sécurité, les utilisateurs aident à empêcher l'accès non autorisé à leurs comptes.
Bien que cette technologie ait considérablement amélioré la sécurité, en particulier contre les attaques par force brute, de nombreux utilisateurs sont encore victimes de attaques d'ingénierie sociale. Et tandis que les utilisateurs férus de technologie peuvent facilement repérer les attaques, ceux qui ne sont pas aussi familiers peuvent ne pas être en mesure de repérer les signes d'attaques comme les escroqueries par hameçonnage.
Les clés de sécurité Apple visent à résoudre ce problème en supprimant complètement le mot de passe. Lorsque vous vous connectez à un service en ligne, vous n'avez plus à saisir votre identifiant et votre mot de passe. Au lieu de cela, il vous suffit d'utiliser les fonctionnalités de sécurité biométrique de votre appareil, comme FaceID ou TouchID.
Le service n'est pas seulement limité à votre appareil Apple. Vous pouvez utiliser des clés d'accès sur votre PC Windows ou votre tablette Android. Tant que vous accédez à un site Web qui implémente l'API WebAuthn, vous pouvez utiliser les fonctionnalités biométriques de votre appareil Apple pour vous connecter à votre compte, même si vous y accédez dans un gadget non Apple. C'est comme utiliser votre appareil Apple comme une clé universelle qui peut ouvrir n'importe quelle porte numérique.
Comment fonctionnent les clés de sécurité Apple ?
Au lieu de conserver le nom d'utilisateur et le mot de passe ensemble en ligne, les clés d'authentification Apple utiliser le cryptage asymétrique. Selon Page d'assistance à la sécurité des clés de sécurité d'Apple:
Lors de l'enregistrement du compte, le système d'exploitation crée une paire de clés cryptographiques unique à associer à un compte pour l'application ou le site Web. Ces clés sont générées par l'appareil, de manière sécurisée et unique, pour chaque compte.
L'une de ces clés est publique et est stockée sur le serveur. Cette clé publique n'est pas un secret. L'autre clé est privée et c'est ce qui est nécessaire pour se connecter. Le serveur n'apprend jamais quelle est la clé privée. Sur les appareils Apple avec Touch ID ou Face ID disponibles, ils peuvent être utilisés pour autoriser l'utilisation de la clé d'authentification, qui authentifie ensuite l'utilisateur auprès de l'application ou du site Web. Aucun secret partagé n'est transmis et le serveur n'a pas besoin de protéger la clé publique.
Lorsque vous utilisez un nom d'utilisateur et un mot de passe, le serveur détient le verrou (votre nom d'utilisateur) et la clé (votre mot de passe). Pour ouvrir la serrure, vous montrez au serveur que vous avez une clé similaire, et il vous ouvre la porte.
Mais avec les clés de sécurité Apple, le serveur ne détiendra jamais la clé. Au lieu de cela, il vous remet le verrou et vous le déverrouillez vous-même. Et puisque le serveur ne vous remettra le verrou que s'il le possède physiquement (c'est-à-dire que vos données sont réellement stockées sur son serveur), les hacks de phishing deviendront inefficace car ils n'ont pas le verrou (c'est-à-dire qu'ils ne peuvent pas demander la clé, car les clés Apple ne la libèrent que s'ils délivrent un code valide bloquer).
Avec ce système, seule l'entité valide peut demander un mot de passe, ce qui garantit que les utilisateurs sont moins susceptibles d'être victimes d'escroqueries par hameçonnage et d'autres attaques d'ingénierie sociale. C'est aussi beaucoup plus pratique puisque les utilisateurs n'ont plus à se souvenir d'une myriade d'identifiants de connexion. Tout ce dont ils ont besoin est d'être connecté à leur identifiant Apple protégé par 2FA.
Un autre exemple de système sans mot de passe
Bien qu'Apple soit peut-être le premier à être intégré efficacement dans un système d'exploitation pour smartphone, ce n'est pas la première entreprise à mettre en œuvre des systèmes sans mot de passe. Si vous avez un compte Microsoft, vous avez probablement rencontré cette technologie.
Si vous avez configuré connexions sans mot de passe avec votre compte Microsoft, vous pouvez vous y connecter à l'aide de l'application Microsoft Authenticator, sans nom d'utilisateur ni mot de passe. Bien qu'il soit principalement disponible dans le navigateur Microsoft Edge, vous pouvez également utiliser Windows Hello ou une sécurité clé pour utiliser l'application Microsoft Authenticator pour vous connecter à votre compte Microsoft sur d'autres navigateurs comme Google Chrome.
Dire adieu aux mots de passe ?
Bien que les noms d'utilisateur et les mots de passe protègent les utilisateurs depuis près de 60 ans, ils peuvent être approchent de la fin de leur vie grâce à de meilleurs systèmes de sécurité ailleurs, plus faciles à utiliser aussi. Alors que nous nous inscrivons à de plus en plus de services, l'idée de mémoriser des dizaines, voire des centaines de combinaisons nom d'utilisateur-mot de passe peut être intimidante.
Les pirates deviennent également plus sophistiqués, ce qui leur permet de compromettre des données même avec une sécurité renforcée. Et bien que l'authentification multifacteur ait quelque peu augmenté la sécurité des identifiants de connexion traditionnels, elle laisse toujours l'utilisateur comme une vulnérabilité importante.
Avec les clés d'accès, nous pouvons passer du nom d'utilisateur et des mots de passe à un avenir plus sûr. Et à mesure que de nouvelles technologies telles que l'informatique quantique sont développées et mises sur le marché, la combinaison traditionnelle du nom d'utilisateur et du mot de passe risque de devenir obsolète du jour au lendemain.