Relativité générale
La facilité d’utilisation est aujourd’hui la plus grande ennemie des clés d’accès, ou passkeys. La technologie sous-jacente donne toute satisfaction, mais les entreprises qui les proposent ont tendance à se croire seules. Un manque criant de concertation venant briser souvent la promesse de simplicité initiale.
Comme nous l’expliquions en juin dernier, les clés d’accès sont une technologie standardisée par l’alliance FIDO (Fast Identity Online) et basée sur l’API Web Authentication, avec le soutien actif de tous les grands noms de la tech, dont Microsoft, Apple et Google. Elles sont censées prendre le relai des mots de passe, jugés trop dangereux aujourd’hui. Outre les problèmes habituels (réutilisation, faiblesse…), les mots de passe peuvent fuiter. Après une année 2024 de tous les records dans ce domaine, la question se pose d’autant plus.
Même si on parle d’« une » clef d’accès comme élément d’identification, elle est en fait composée de deux clés, l’une privée, l’autre publique. Celle-ci est stockée par le service auquel on souhaite s’authentifier. La clé privée, elle, est préservée dans une zone sécurisée de l’appareil. Tout accès à cette clé provoque l’apparition d’une demande de confirmation. La validation est biométrique, sinon par code PIN, provoquant alors l’émission d’un jeton, qui sera mis en contact avec la clé publique. S’il y a correspondance, l’accès au service est autorisé.
En théorie comme en pratique, le mécanisme est efficace. La preuve d’identité ne fait pas appel à la mémoire et ne peut être dérobée. Pour que les clés d’accès rencontrent le succès cependant, il faut qu’elles soient suffisamment simples à utiliser pour passer l’envie des vieux mots de passe. Et c’est là, bien sûr, que les choses se corsent.
Chacun chez soi
On peut résumer tout le problème aisément : tout est simple si on n’utilise qu’un unique appareil. Dans ce cas, toutes les clés sont au même endroit, probablement gérées par un seul éditeur. Si vous utilisez un smartphone Android, c’est le gestionnaire de mots de passe par défaut qui les stocke et les régurgite au besoin. Même chose sur un iPhone, iOS 18 ayant d’ailleurs simplifié les opérations avec une application Mots de passe permettant de se passer du vieux Trousseau.
Mais il y a de bonnes chances que vous utilisiez au moins un appareil mobile et un ordinateur. La situation se complexifie alors, selon les environnements et choix en matière d’applications. Comme nous l’avions indiqué il y a deux mois, les clés d’accès restent encore simples d’utilisation si vous avez un smartphone Android et Chrome sur un ordinateur. Le compte Google synchronise les informations et le tout est relativement transparent au quotidien. Si vous avez un iPhone en revanche, il faudra passer par une extension pour le navigateur et l’installation d’iCloud.
Des cassures en pagaille dans l’UX
Nos confrères d’Ars Technica se sont penchés sur cet aspect des clés d’accès. S’ils qualifient la technologie « d’élégance pure » d’un point de vue technique, l’utilisation est une tout autre paire de manches. Comme nous, ils constatent que tout se passe bien depuis un seul appareil, mais que l’ensemble manque cruellement de cohérence dès que l’on en a plusieurs.
Cette cohérence se manifeste surtout par des frictions continues dans l’expérience utilisateur. « L’expérience de connexion à PayPal avec une clé d’accès sur Windows sera différente de la connexion au même site sur iOS ou même de la connexion avec Edge sur Android », note ainsi Ars Technica. La situation se complique encore avec Firefox, certains sites – dont PayPal justement – ne le supportant pas.
L’utilisation d’un gestionnaire tiers de mots de passe simplifie largement les choses, mais uniquement pour les personnes qui savent déjà où elles mettent les pieds. Chez nos confrères, Dan Goodin dit ainsi se servir de 1Password pour synchroniser ses mots de passe et clés d’accès. Dans le cas de LinkedIn, il a créé une clé d’accès depuis Firefox sur un Mac. Elle apparait comme telle depuis les paramètres du compte. La clé, une fois synchronisée, fonctionne cependant avec tous les appareils. Comme l’explique le journaliste, le gestionnaire n’a aucun moyen de se mettre en relation avec LinkedIn pour que celui-ci affiche des informations cohérentes.
Nous avions souligné ce problème il y a deux mois, notamment pour les navigateurs possédant un gestionnaire intégré compatible avec les clés d’accès. Selon que l’on utilise Firefox, Chrome, Edge ou encore Safari, l’expérience utilisateur change complètement. C’est particulièrement vrai sur un appareil mobile : en fonction de la situation, on ne sait pas toujours si c’est le système, l’application utilisée ou le gestionnaire de mots de passe qui se manifeste.
La simplicité se paye
Ars Technica note le travail fait par Apple, qui a manifestement réfléchi à sa copie. Les messages sont globalement clairs, tout du moins tant que l’on reste dans les suggestions par défaut. Dès que l’on creuse un peu, les choses se complexifient à nouveau. Surtout, Apple a le même problème que les autres fournisseurs de solutions logicielles : l’entreprise se croit seule.
C’est un autre type de « silo » que nous évoquions en novembre et qu’Ars Technica résume par la formule « trop de cuisiniers dans la cuisine ». Chaque système d’exploitation ou navigateur vous propose d’enregistrer une clé d’accès par une invite qui lui est propre, avec son langage et ses codes graphiques. Tant que l’on y reste, tout va pour le mieux. Mais aucun n’avertit l’utilisateur ou l’utilisatrice que pour utiliser ces clés sur d’autres appareils, il faudra les synchroniser, ni comment s’y prendre.
Chacun agit comme s’il était seul sur l’appareil, accaparant l’attention et affirmant qu’il va mieux faire que les autres. Les choix des éditeurs ne sont même pas cohérents selon les plateformes. On pourrait penser par exemple que Chrome sur ordinateur donne la préséance à son propre gestionnaire de mots de passe, comme il le fait pour… les mots de passe justement. Il n’en est rien : sur Windows, il confie cette tâche à Windows Hello, sur Mac, au Trousseau de macOS.
Là encore, dans notre dernier article, nous avions montré qu’il était possible de changer ce comportement, mais encore faut-il savoir que l’option existe et où aller la trouver. Et encore, la synchronisation des clés d’accès n’est arrivée dans le navigateur qu’en septembre dernier.
Rien de réellement grave ou bloquant
Dans de nombreux cas, l’utilisation des clés ne pose pas de problème. Pour nos confrères, au pire, il suffit de créer autant de clés supplémentaires que de besoin selon le nombre d’appareils. Mais ce n’est pas simple, alors que la simplicité est la grande promesse des clés d’accès. Si leur objectif est de donner envie aux internautes d’y recourir, le bon vieux mot de passe a encore de beaux jours devant lui.
C’est d’autant plus vrai que, comme nous l’avions relevé, il est strictement impossible aujourd’hui de désactiver le mot de passe sur un service. Des centaines d’entre eux sont compatibles avec les clés d’accès, mais ces dernières ne sont actuellement qu’une « surcouche ». Ainsi, si l’on ne dispose pas de la clé, on peut demander à écrire le mot de passe, de la même manière qu’un échec sur une identification biométrique réclamera le code PIN. Et si tout échoue, on en revient à l’e-mail de réinitialisation, souvent avec un code à six chiffres, quand ce n’est pas un simple SMS.
Cette phase apparait toutefois comme nécessaire : on ne peut pas supprimer d’un seul coup les mots de passe, présentés comme principal sas de sécurité depuis tant d’années. C’est l’approche hybride retenue par l’alliance FIDO d’après des tests réalisés auprès d’échantillons d’internautes.
« Au fil du temps, nous avons l’intention de sevrer les utilisateurs des facteurs d’authentification hameçonnables, mais nous prévoyons que ce voyage prendra plusieurs années. Nous ne pourrons vraiment y parvenir que lorsque les utilisateurs seront tellement à l’aise avec les clés d’accès que le recours aux mots de passe ne sera (presque) jamais nécessaire », a ainsi déclaré à Ars Technica Christiaan Brandt, coprésident du groupe de travail technique FIDO2 et responsable des produits d’identité et de sécurité chez Google.
On en revient ainsi à l’éternelle question du curseur entre sécurité et facilité d’utilisation. Les clés d’accès sont censées allier les deux, mais la simplicité s’efface en fonction du nombre d’appareils. Les éditeurs le savent d’ailleurs. En octobre, plusieurs annonces importantes ont eu lieu dans ce domaine.
Microsoft, d’abord, a annoncé l’arrivée prochaine d’une API pour les fournisseurs tiers de clés d’accès, avec la promesse de faciliter le choix à l’enregistrement. Quelques jours plus tard, l’alliance FIDO elle-même a présenté deux nouvelles spécifications, CXP et CXF, pour faciliter le déplacement des clés d’accès entre deux fournisseurs, sans briser la chaine de sécurité. De quoi mettre fin au problème des vases clos ?