Avec iOS 16 et macOS Ventura, Apple introduit les clés d’accès, une alternative plus pratique et sécurisée aux mots de passe.
DEPUIS DES ANNÉES, ON NOUS a promis la fin des connexions par mot de passe. Aujourd’hui, la réalité d’un avenir sans mot de passe fait un grand bond en avant, avec la possibilité d’abandonner les mots de passe déployés pour des millions de personnes. Lorsque Apple lancera iOS 16 le 12 septembre et macOS Ventura le mois prochain, le logiciel inclura son remplacement de mot de passe, connu sous le nom de clés d’accès, pour iPhone, iPad et Mac.
Les clés d’accès vous permettent de vous connecter aux applications et aux sites Web, ou de créer de nouveaux comptes, sans avoir à créer, mémoriser ou stocker un mot de passe. Ce mot de passe, composé d’une paire de clés cryptographiques, remplace votre mot de passe traditionnel et est synchronisé sur le trousseau d’iCloud. Il a le potentiel d’éliminer les mots de passe et d’améliorer votre sécurité en ligne, en remplaçant les mots de passe non sécurisés et les mauvaises habitudes que vous avez probablement actuellement.
Le déploiement des clés d’accès par Apple est l’une des plus grandes implémentations de technologie sans mot de passe à ce jour et s’appuie sur des années de travail de la FIDO Alliance, un groupe industriel composé des plus grandes entreprises de technologie. Les clés de sécurité d’Apple sont sa version des normes créées par l’Alliance FIDO, ce qui signifie qu’elles fonctionneront éventuellement avec les systèmes de Google, Microsoft, Meta et Amazon.
Qu’est-ce qu’une clé d’accès ?
L’utilisation d’un mot de passe est similaire à l’utilisation d’un mot de passe. Sur les appareils Apple, il est intégré aux boîtes de mot de passe traditionnelles que les sites Web et les applications utilisent pour vous connecter. Les clés de passe agissent comme une clé numérique unique et peuvent être créées pour chaque application ou site Web que vous utilisez. (Le mot « passkey » est également utilisé par Google et Microsoft, FIDO les appelant « identifiants FIDO multi-appareils ».)
Si vous êtes nouveau sur une application ou un site Web, il est possible que vous puissiez créer un mot de passe au lieu d’un mot de passe dès le début. Mais pour les services pour lesquels vous avez déjà un compte, vous devrez probablement vous connecter à ce compte existant à l’aide de votre mot de passe, puis créer un mot de passe.
Les démonstrations de la technologie d’Apple montrent une invite apparaissant sur vos appareils pendant la phase de connexion ou de création de compte. Cette boîte vous demandera si vous souhaitez « enregistrer un mot de passe » pour le compte que vous utilisez. À ce stade, votre appareil vous invitera à utiliser Face ID, Touch ID ou une autre méthode d’authentification pour créer le mot de passe.
Une fois créé, le mot de passe peut être stocké dans le trousseau d’iCloud et synchronisé sur plusieurs appareils, ce qui signifie que vos mots de passe seront disponibles sur votre iPad et MacBook sans aucun travail supplémentaire. Les clés de sécurité fonctionnent dans le navigateur Web Safari d’Apple ainsi que sur ses appareils. Ils peuvent également être partagés avec des appareils Apple à proximité à l’aide d’AirDrop.
Comment fonctionnent les clés d’Apple ?
Sous le capot, les clés de sécurité d’Apple sont basées sur l’API d’authentification Web (WebAuthn), qui a été développée par l’Alliance FIDO et le World Wide Web Consortium (WC3). Les clés d’accès elles-mêmes utilisent la cryptographie à clé publique pour protéger vos comptes. Par conséquent, un mot de passe n’est pas quelque chose qui peut (facilement) être saisi.
Lorsque vous créez une clé d’accès, une paire de clés numériques associées est créée par votre système. « Ces clés sont générées par vos appareils, de manière sécurisée et unique, pour chaque compte », a déclaré Garrett Davidson, ingénieur de l’équipe d’expérience d’authentification d’Apple, dans une vidéo sur les clés de sécurité. L’une de ces clés est publique et stockée sur les serveurs d’Apple, tandis que l’autre clé est une clé secrète et reste sur votre appareil à tout moment. « Le serveur n’apprend jamais quelle est votre clé privée et vos appareils la gardent en sécurité », a déclaré Davidson.
Lorsque vous essayez de vous connecter à l’un de vos comptes à l’aide d’un mot de passe, le site Web ou le serveur de l’application envoie à votre appareil un « défi », demandant essentiellement à votre appareil de prouver que c’est bien vous qui vous connectez. La clé privée, qui est stockée sur votre appareil , est en mesure de répondre à ce défi et de renvoyer sa réponse. Cette réponse est ensuite validée par la clé publique, qui vous permet ensuite de vous connecter. « Cela signifie que le serveur peut être sûr que vous avez la bonne clé privée, sans savoir ce qu’est réellement la clé privée », a déclaré Davidson.
Et si je n’utilise pas uniquement des appareils Apple ?
Étant donné qu’Apple a développé ses clés de sécurité sur la base des normes de l’Alliance FIDO, les clés de sécurité peuvent fonctionner sur tous les appareils et sur le Web. Si vous essayez de vous connecter à l’un de vos comptes sur une machine Windows, vous devrez utiliser une méthode légèrement différente car vos mots de passe ne seront pas stockés sur cette machine. (S’ils sont enregistrés dans un gestionnaire de mots de passe externe, vous devez d’abord vous y connecter).
Au lieu de cela, lorsque vous vous connectez à un site Web dans Google Chrome, par exemple, vous devrez utiliser un code QR et votre iPhone pour vous aider à vous connecter. Le code QR contient une URL qui comprend des clés de cryptage à usage unique. Une fois scannés, votre téléphone et l’ordinateur sont capables de communiquer à l’aide d’un réseau crypté de bout en bout via Bluetooth et de partager des informations.
Les clés d’accès sont-elles meilleures que les mots de passe ?
Aucun système n’est infaillible, mais les mots de passe que les gens utilisent actuellement sont l’un des plus gros problèmes de sécurité du Web. Chaque année, les mots de passe les plus populaires que les gens utilisent – selon l’analyse des violations de données – sont surmontés de « 123456789 » et « mot de passe ». L’utilisation de mots de passe faibles et répétés est l’un des risques les plus importants pour votre vie en ligne.
Il existe un large soutien pour l’abandon des mots de passe – l’Alliance FIDO implique à peu près toutes les grandes entreprises technologiques, et elles travaillent toutes à l’élimination du mot de passe. Jen Easterly, directrice de la US Cybersecurity and Infrastructure Security Agency, a salué l’adoption de technologies sans mot de passe en mai de cette année.
À propos de MicroM Informatique
MicroM compte aujourd’hui parmi les compétences IT les plus sérieuses de la capitale, elle comptabilise plusieurs centaines de projets avec différents opérateurs économiques de renommée mondiale. La philosophie qui caractérise ses dirigeants, et de leurs équipes, est de proposer aux groupes, entreprises, administrations et professionnels indépendants des solutions qui répondent parfaitement à leurs besoins tout en s’adaptant à chaque structure. Aujourd’hui nous activons dans l’IT, Réseau informatique, Systèmes de sécurité, CCTV, contrôle d’accès, détection incendie, matériels informatique, Cisco, HP, Microsoft, datacenter et fibre optique ainsi que le consommable. La technologie bouge, nous suivons sa danse!
Contact