Introduction aux clés d'accès L'authentification par mot de passe est le mode par défaut depuis de nombreuses années. Mais qui veut se souvenir des mots de passe de chaque site Web sur lequel il s'inscrit ? La plupart des gens utilisent le même mot de passe à plusieurs endroits, ce qui est facile à retenir. Les gestionnaires de mots de passe facilitent le remplissage automatique des informations d'identification, mais ils ne peuvent pas surmonter les problèmes de sécurité présents dans le système d'authentification par mot de passe de par leur conception. C'est là qu'interviennent les clés d'accès. Elles sont plus sûres et plus faciles à utiliser, offrant une authentification sans mot de passe avec une nouvelle vision dans l'espace de l'authentification qui semble prometteuse. Comme pour tout, les clés d’accès présentent également leurs avantages et leurs défis que nous allons aborder dans cet article, ainsi qu’une idée du fonctionnement de ce mode d’authentification, de son niveau de sécurité et bien d’autres choses encore. Comment fonctionnent les clés d'accès ? Les clés d'accès utilisent la cryptographie à clé publique pour générer un flux d'authentification au lieu de s'appuyer sur un seul mot de passe basé sur une chaîne. L'appareil de l'utilisateur génère une paire de clés publique/privée et envoie la clé publique au serveur qui la stocke et utilise ensuite la clé pour authentifier l'utilisateur. La clé privée est stockée sur l'appareil de l'utilisateur. Déroulement de l'inscription L'appareil de l'utilisateur génère une paire de clés publique/privée liée au service Web. La clé publique est envoyée au service Web et la clé privée est stockée sur l'appareil de l'utilisateur. Le service Web stocke la clé publique de l'utilisateur dans sa base de données. Flux d'authentification Le service Web envoie un nonce de défi au client. Les utilisateurs s'authentifient localement en utilisant n'importe quelle méthode telle que la biométrie, le code PIN, etc. pour accéder à la clé privée. L’appareil utilisateur signe le défi en utilisant la clé privée pour ce service Web particulier. Le service Web reçoit le défi signé et le vérifie à l'aide de la clé publique. Cela garantit que le périphérique client a effectivement accès à la clé privée. Après une vérification réussie, le service Web authentifie l'utilisateur. Points à noter La paire de clés publique/privée est unique à chaque service/site Web. La clé publique est transmise au service Web via le réseau une seule fois lors de l'enregistrement. La clé privée reste en permanence sur l'appareil de l'utilisateur et n'est jamais transmise sur le réseau. (L'exception est lorsque vous synchronisez les clés d'accès à l'aide d'un gestionnaire de mots de passe) La charge utile signée générée par le périphérique utilisateur est transmise sur le réseau, est spécifique à la session et change à chaque fois que l'utilisateur s'authentifie. Dans quelle mesure sont-ils sécurisés et comment peuvent-ils constituer une meilleure alternative que les mots de passe ? Une sécurité accrue signifie généralement une facilité d'utilisation réduite, mais ce n'est pas le cas des clés d'accès. Elles sont plus faciles à utiliser une fois la phase d'enregistrement terminée. Il n'y a pas de contrainte à retenir les mots de passe, l'authentification est rapide, facile et sécurisée. Les clés d'accès réduisent la surface d'attaque et éliminent certaines menaces courantes pour les mots de passe. Les mots de passe sont généralement stockés sous forme cryptée dans une base de données. Lorsque vous utilisez un mot de passe en texte clair pour vous connecter à un service Web, ils génèrent le même texte crypté et le comparent à celui qu'ils possèdent déjà, c'est ainsi que les utilisateurs sont authentifiés. Cela nous laisse maintenant avec les deux menaces les plus courantes. Violations de bases de données Attaques de phishing Les violations de bases de données sont courantes et lorsque les données d'un service sont volées, elles sont souvent vendues sur le dark web. Les acteurs malveillants qui ont accès aux données peuvent essayer de briser le cryptage hors ligne, et avec la puissance de calcul disponible aujourd'hui, cela peut prendre des semaines à des mois selon le cryptage. Les clés d'accès éliminent cette menace car il n'y a pas de mots de passe à stocker. En cas de fuite, seule la clé publique est exposée, ce qui n'est pas d'une grande utilité pour les acteurs malveillants. Dans les attaques de phishing, un clone du site Web ciblé est créé et l'utilisateur est amené à saisir ses identifiants en le confondant avec un site authentique. Cependant, cela ne fonctionne pas non plus avec les clés d'accès, car il n'y a pas d'identifiants à voler. Les attaques de phishing sophistiquées combinées à l'homme du milieu peuvent toujours être opérationnelles, mais la surface d'attaque est considérablement réduite. Types de clés d'accès Appareil unique ou appareil lié La clé privée ne quitte jamais l'appareil. L'authentification ne peut être effectuée que sur un appareil spécifique sur lequel les clés privées existent. Étant donné que la clé n’existe que sur un seul appareil, le chemin de récupération doit être déclenché en cas de perte d’accès à l’appareil. Multi-appareils ou synchronisés La clé privée est synchronisée sur tous les appareils des utilisateurs. Les options courantes incluent l'utilisation du gestionnaire de mots de passe Google, du trousseau iCloud, etc. Les clés sont cryptées de bout en bout, ce qui signifie que le fournisseur ne peut pas voir ni utiliser vos clés même s'il les stocke. Cela améliore la convivialité car les utilisateurs n'ont besoin d'enregistrer qu'un seul appareil et peuvent réutiliser les mêmes clés sur tous leurs appareils. Portabilité des clés d'accès Comme nous l'avons déjà appris dans la section précédente, les clés d'accès peuvent être synchronisées sur plusieurs appareils, ce qui nous permet de savoir qu'elles sont portables. Vous pouvez utiliser les clés d'accès sur tous vos appareils à condition d'être connecté au fournisseur (Google, iCloud). Cela nous amène à la question de savoir comment nous allons utiliser les clés d'accès sur un appareil qui ne vous appartient pas, peut-être l'ordinateur d'un ami ou la bibliothèque, essentiellement tout appareil sur lequel vous souhaitez simplement l'utiliser une seule fois. Les clés d'accès couvrent également ce cas. Si deux systèmes prennent en charge les clés d'accès, ils peuvent communiquer entre eux via Bluetooth pour partager l'accès. Examinons la procédure étape par étape de son fonctionnement. Vous ouvrez un site Web xyz.com sur un ordinateur de bureau sur lequel vous n'avez pas de clé d'accès. Vous pouvez utiliser l'option permettant de vous connecter avec des clés d'accès sur un autre appareil. Le bureau vous montrera des options pour les appareils disponibles à proximité ou un code QR. Vous pouvez sélectionner l'appareil ou scanner le QR. Après cela, vous pouvez utiliser votre appareil mobile pour vous authentifier et autoriser le bureau à utiliser la clé d’accès de votre mobile. Une fois authentifié, vous avez également la possibilité de créer une clé d'accès sur le bureau sans passer par le processus d'enregistrement. Si vous choisissez cette option, vous n'aurez plus besoin de l'appareil mobile la prochaine fois et un nouvel ensemble de clés d'accès sera créé pour le bureau. Si vous choisissez de l'utiliser une seule fois, aucune nouvelle clé d'accès ne sera créée. Enseignements sur l'adoption Les clés d'accès sont basées sur les normes FIDO2 qui combinent le protocole Client to Authenticator Protocol (CTAP) avec l'API d'authentification Web (WebAuthn) et constituent un projet commun entre l'alliance FIDO et le W3C. Ces efforts de normalisation visent à accroître l'adoption et la mise en œuvre appropriée. La prise en charge native des clés d'accès est ajoutée par des entreprises comme Google, Apple Microsoft au niveau du système d'exploitation et du navigateur, ce qui contribue grandement à encourager l'adoption des clés d'accès. En raison de la dépendance de longue date aux mots de passe dans le secteur, l'adoption de clés d'accès n'est pas seulement un défi technique, mais également psychologique. Les utilisateurs finaux peuvent initialement se sentir mal à l'aise avec les clés d'accès simplement parce qu'ils sont habitués à la familiarité des systèmes basés sur des mots de passe. Même si les clés d'accès sont plus sûres et plus faciles à utiliser que les mots de passe, le confort avec les options connues l'emporte dans la plupart des cas. L'éducation des utilisateurs est nécessaire pour que les clés d'accès soient adoptées à grande échelle, les questions autour de la récupération et de la facilité d'utilisation se poseront au départ. D'un autre côté, les entreprises peuvent être réticentes à proposer une authentification par clé d'accès si elles ne constatent pas un taux d'adoption suffisant de la part des utilisateurs. Dans le secteur public, les gouvernements peuvent encourager l'adoption de cette méthode en modifiant leurs politiques. Conclusion Les clés d'authentification ont le potentiel de transformer l'espace d'authentification. Elles sont sécurisées et plus faciles à utiliser. Elles éliminent les menaces courantes qui existent avec l'authentification par mot de passe, mais elles présentent également leurs défis et leurs limites. La récupération des comptes et la portabilité des informations d'identification sont des questions qui doivent être traitées correctement. Je pense que la prochaine étape consiste à utiliser un mode d'authentification hybride, c'est-à-dire l'utilisation de clés d'authentification avec les mots de passe. À mesure que l'adoption dans le monde réel augmente, nous verrons de plus en plus d'arguments être avancés, ce qui constituerait un meilleur point de départ pour décider de la prochaine étape, avant de passer à un avenir entièrement sans mot de passe. **
