Au micro de Clubic, Thiébaut Meyer, directeur cybersécurité chez Google Cloud, insiste sur l’intérêt des fameux passkeys, ou clés de sécurité, qui se destinent à faire entrer la protection en ligne dans une nouvelle ère, en écartant progressivement les mots de passe.
Si on vole le téléphone, on a l’empreinte digitale avec: on tripote tellement l’écran qu’il est nécessairement couvert d’empreintes digitales.
Sinon, la solution de la clef sur téléphone + code (ou empreinte biométrique) est à mon sens équivalent à stocker les mots de passe en local (générés, afin qu’ils soient longs et complexes) sur un téléphone protégé par un code (ou empreinte biométrique) (ce que fait l’iPhone de base par exemple) à la différence que lorsqu’on a un problème avec un site, il faut alors changer la clef, et donc par extension le faire sur tous les sites (puisqu’ils reposent tous sur la même clef unique) ! Alors qu’avec des mots de passes individuels, on ne change que le mot de passe sur le site qui pose problème.
Question: Comment on s’authentifie si on a pas son téléphone près de soit et qu’il n’a plus de batterie? Il y a un cache?
Je ne suis pas un spécialiste en cybersécurité, mais ça me ferait un peu peur que l’accès à tous mes comptes dépende du seul code pin de mon smartphone (pour info, j’utilise FaceId).
Vu comme ça, la solution Bitwarden + mots de passes générés > 20 caractères, différents sur chaque site/appli, me paraît aussi, voire plus sure.
On pourrait me répondre que l’accès au gestionnaire n’est lui-même protégé que par le mot de passe maître (il faut qu’il soit suffisamment fort).
Eventuellement, les passkeys pourraient aussi être dans un dossier sécurisé mais on perdrait en souplesse d’utilisation.
Autre interrogation : comment les passkeys seraient partagées entre plusieurs appareils (smartphone - PC par exemple) ?
Les empreintes sur le téléphone sont rarement exploitables pour contourner les lecteurs d’empreintes actuels. Et tu as toujours la possibilité de mettre une authentification plus forte sur ton téléphone.
Non. Chaque passkey est unique et propre à un site, tu ne peux pas utiliser la passkey de ton compte Google sur ton compte Facebook par exemple.
Et en fait tu peux même avoir plusieurs paskeys pour un même compte sur un même site. Par exemple, j’ai deux passkeys différentes pour accéder à mon compte bancaire depuis mon PC de bureau et depuis mon PC portable. Si je me fait voler le portable, je peux révoquer sa passkey sans révoquer celle de mon PC.
Le secret partagé unique, c’est la clé de chiffrement qui sert à chiffrer l’ensemble des passkeys que tu stockes sur un même appareil. Mais ça c’est pas gênant qu’elle soit partagée, puisque de toute façon si l’appareil est corrompu il faut révoquer toutes les passkeys qu’il contient, même si elles étaient toute chiffrées avec une clé différente.
Les passkeys n’utilisent pas le téléphone. La passkey est stockée sur l’appareil d’où tu te connectes au compte (en faisant une première connexion avec ton login/mot de passe classique), comme l’est actuellement un cookie d’authentification. La différence avec le cookie est que alors que le cookie est stocké le plus souvent en clair dans l’espace « classique » de stockage de la machine, donc relativement facile d’accès, la passkey est stockée chiffrée, avec une clé de chiffrement qui est dans une enclave sécurisée, accessible uniquement en t’authentifiant auprès de l’enclave sécurisée, ce qui nécessite une identification spécifique et indépendante du site (identification de l’OS si c’est son enclave qui est utilisée, identification du gestionnaire de mots de passe si c’est lui qui stocke la passkey, etc…).
L’idée de base est de ne pas les partager. Les passkeys sont plus là pour remplacer le cookie qui dit « machin s’est authentifié pour ce site sur cet appareil », avec une sécurité en plus (la passkey nécessite une authentification complémentaire à chaque session d’accès, contrairement au cookie) que pour remplacer le login/mot de passe.
Donc la première fois que tu te connectes à ton compte depuis un appareil, tu utilises ton login/mot de passe classique (et l’éventuel second facteur), ça va générer une passkey qui va être stockée dans ton gestionnaire de passkeys, et ensuite quand tu reviens avec le même appareil, ça ne te demande plus que l’authentification du gestionnaire de passkeys, tant que la passkey n’est pas révoquée/expirée.
Après, certains préparent aussi le partage de passkeys entre appareils, par exemple Bitarden va le faire, mais c’est vraiment pas l’idée de base (et on perd du coup la possibilité de révoquer l’accès d’un appareil à un service, la révocation ne peut alors se faire que pour tous les appareils sur un service, en révoquant la passkey, ou pour tous les services sur un appareil en révoquant l’accès à Bitwarden de cet appareil).
Vraiment ce qu’il faut retenir c’est que le passkey est plus un remplaçant du cookie d’authentification que du mot de passe. Mais comme c’est plus sûr que le cookie, Google recommande de l’utiliser pour persister l’authentification plutôt que de se déconnecter/reconnecter à chaque fois avec le mot de passe pour ceux qui n’utilisaient pas de cookies jusqu’à présent. C’est plus en ce sens que ça « remplace le mot de passe ».
4 « J'aime »
Tu prends ton second téléphone dans ta seconde poche de ton second pantalon de ta seconde armoire. Facile
1 « J'aime »
Juste une petite coquille à corriger. Dans les paramètres francais de Google, ce qu’ils appellent une « clé de sécurité », c’est une véritable clé physique (clé USB…), le passkey correspond à la « clé d’accès ».
Sinon il est aussi possible de générer des « codes de secours » pour se connecter en cas de perte du téléphone qui sert à confirmer l’identification.
Ils n’expliquent pas tous les désavantages.
Le fait de lier un compte à un téléphone pose de gros problèmes.
Pour passer d’un téléphone a un autre il faut souvent faire des manipulations sur l’ancien téléphone ce qui pose des problèmes si on en a perdu l’accèss via réinitialisation, suppression de l’application ou de ces données, vol ou perte. Parfois il faut même obligatoirement passer par un service client ou un administrateur pour lier au nouveau téléphone ou attendre x heures ou x jours.
On ne peut généralement pas passer facilement d’un téléphone à un autre facilement ce qui est quelque part logique car sinon le téléphone ne servirait à rien si l’on pouvait utiliser n’importe lequel du moment qu’on a le login/mot de passe.
Il y a même des banques qui ont déjà utilisé ce genre de choses pour rejetter toutes les responsabilités sur les clients prétextant que vu que c’était plus sécurisé, les clients devenaient 100% responsables.
Il faut essayer d’éviter le plus possible ce genre de choses pour éviter les blocages. Privilégier en priorité l’envoi de mail, sinon au pire envoi de SMS ou appel, c’est très génant car lié au numéro de téléphone mais moins pire que d’être lié au téléphone.
Ça tombe bien, ce n’est absolument pas le cas.
La liaison avec un téléphone, ce n’est PAS pour les passkeys, c’est pour l’authentification à deux facteurs.
Dans l’article pourtant il est dit que le hacker devra en plus voler le téléphone.
Oui, pour voler la passkey qui est utilisée quand on se connecte depuis le téléphone. Si tu te connectes depuis un ordinateur, la passkey sera stockée sur cet ordinateur (dans Windows Hello par exemple, par défaut sur les PC sous Windows). Et ça pourra également être stocké dans un gestionnaire de mots de passe (Bitwarden est en train de l’implémenter
EDIT : et apparemment il y a Dashlane qui le fait déjà).
Après on peut aussi envisager une combinaison de 2FA et de passkeys en stockant les passkeys de façon déporté. Mais ce n’est pas le mode de fonctionnement par défaut des passkeys et ce n’est pas obligatoire.
que google garde ses conseils pour lui et nous laisse décidé de ce que l’on veut, y’en marre de ces boites qui dictent nos choix, on a le droit de ne pas vouloir et le rappelle ICI
2 « J'aime »
Le problème c’est que les gens utilisent ) 90% le même mot de passe sur tous les services qu’ils utilisent, ne le changent jamais et viennent pleurer quand leur mot de passe est dévoilé… Si on veut sécuriser un minimum il faut un mot de passe par service et le changer régulièrement. C’est exactement ce qui est expliqué dans l’article. Donc si tu veux plus de sécurité il faut changer de système.
ça tombe bien, cette boite en question ne cherche pas à t’imposer quoi que ce soit mais t’explique pourquoi…
1 « J'aime »