Les passkeys, une bonne idée trop centralisée
On a vu récemment fleurir plusieurs articles vantant les passkeys comme le remplacant tant attendu des mots de passe.
Google passkeys are a no-brainer. You’ve turned them on, right? | Ars Technica
Que sont les passkeys, comment on s'en sert ? | Nextinpact
Les passkeys sont le résultat d'une recherche avec la FIDO Alliance, à qui l'on doit déjà WebAuthn, l'API dans les navigateurs permettant d'utiliser une clef physique (YubiKeys & co). La FIDO Alliance est constituée des gros noms de la tech Microsoft, Apple, Google, Amazon, etc. (mais pas que), se regroupant pour se débarrasser des méchants mots de passe.
La situation
Pour se connecter au site, on demande habituellement un mot de passe, une chose que l'on sait. La connaissance d'une information que seul moi connaisse implique que je suis bien qui je prétends, le propriétaire du compte, c'est une preuve d'authentification (à ne pas confondre avec identification).
Seulement, pour que cela soit valable, il faut avoir des mots de passe compliqués, longs et différents pour chaque site. C'est difficile: il faut les noter quelque part, on se les fait voler, ils sont compromis en cas de fuite de données, etc. De plus, on n'est pas à l'abris du phishing: faites une copie ressemblante d'un site, dans la confusion, on s'authentifie auprès d'un site malveillant et l'on compromet notre chose que l'on sait.

Vu que la chose que l'on sait n'était pas suffisante pour une authentifiaction fiable, est arrivée l'authentification à deux facteurs (ou 2FA). On demande également une chose que l'on possède. Elle a en général la forme d'un code temporaire généré par un programme installé sur son smartphone ou reçu par SMS. La sécurité est augmentée car seul moi possède la chose qui me permet de générer ce code (le programme ou ma carte SIM). Se faire voler son mot de passe (car il est trop court, réutilisé,...) n'est plus suffisant pour accès au compte. Par contre, cela ajoute de la complexité : en plus du mot de passe, il faut ouvrir un programme spécifique, retaper le code, etc. Et on est toujours pas à l'abris du phishing en donnant ce code temporaire de bonne foi à un site malveillant.
Les clefs de sécurité U2F/WebAuthn sont une variante de la chose que l'on possède. Au lieu de retaper un code, l'on insère une clef usb et la connexion est automatique. C'est une amélioration de sécurité car on lutte maintenant contre le phishing. La clef étant configurée pour un domaine spécifique, si j'essaye de m'authentifier par erreur sur mart-ǝ.be
alors que WebAuthn est configuré pour mart-e.be
, ma clef ne fonctionnera simplement pas, elle n'a pas été configurée pour ce domaine. C'est mieux mais ça reste un deuxième facteur, une étape de plus après le maudit mot de passe.
Les passkeys proposent une solution alternative qui veut offrir un moyen d'authentification sécurisé, résistant au phishing et facile d'utilisation, le tout sans utiliser de mot de passe. Après des années de recherche, ça y est, les passkeys commencent à être déployées chez Google, Apple, Microsoft et autres. Comment ont-ils réussi ce miracle ? En utilisant le smartphone et la biométrie.
Si l'on ne peut pas faire confiance à l'humain pour la chose que l'on sait, c'est maintenant la chose que l'on possède (un smartphone) qui va nous authentifier via biométrie (chose que l'on est). Lorsque vous vous voulez vous identifier depuis votre PC sur un site connu, vous recevez une notification sur votre smartphone vous demandant de confirmer via un scan de votre doigt ou visage. Les requêtes d'authentification sont validées depuis l'appareil uniquement, sans jamais envoyer de mot de passe ou code pouvant être intercepté. On évite le phishing ou la fuite de mot de passe tout en garantissant une grande sécurité.
Seulement, malgré l'enthousiasme des différents médias, ça sera non pour moi.
Je déteste les smartphones.
- C'est un mauvais ordinateur
- Il coûte cher
- Il a une durée de vie ridicule (dépasser les 3 ans est considéré comme exceptionnel)
- C'est un gaspillage de ressources (cf point précédent)
- Il fonctionne mal (surtout quand on essaye de le garder plus de 3 ans)
- On n'est pas libre de l'utiliser comme on le souhaite (Android fait vaguement mieux qu'iOS mais sans plus)
- C'est un espion dans votre poche
- Il rend con
Je déteste que l'on soit obligé d'en posséder un (pour communiquer, pour payer son parking,...). Je déteste devoir m'interrompre en étant sur mon PC pour sortir mon téléphone (reproche que l'on peut également faire au 2FA).
Étrangement, je ne suis pas d'accord avec le fait que la sécurité de mes comptes ne dépende plus que d'un appareil auquel j'accorde autant de confiance qu'à la promesse d'un politicien...
Je déteste la biométrie.
Cet argument est encore plus subjectif que le précédent.
Pourquoi suis-je plus mal à l'aise à l'idée de donner mes empreintes digitales que de montrer mon passeport quand je rentre dans un pays démocratiquement discutable ? Parce que je ne sais pas ce qu'ils vont en faire. Parce que ça touche à mon identité.
La biométrie implique des données hautement personnelles. Si votre nom, date de naissance, etc. sont privés, les données biométriques le sont encore plus. Elles identifient votre personne, sans retenue ou possibilité de mentir. Via les passkeys (made in Google/Apple), on remplace la chose que l'on sait par la chose que l'on est. La nuance n'est pas négligeable. Authentification et identification se mélangent.

Les promoteurs vous diront que les données biométriques ne quittent jamais l'appareil. Quelles sont stockées dans la puce TPM et impossibles à extraire. Quelles ne sont pas liées à votre identité. Que le fichage n'est pas possible. Ils sont certainement de bonne foi mais tout comme l'étaient tous les gens vantant un système inviolable qui s'est avéré vulnérable. La différence avec une faille de sécurité classique est que l'on peut changer son mot de passe ou autre clef compromise. Pas avec la biométrie.
Je n'ai aucune envie d'utiliser une donnée aussi sensible auprès d'une société dans laquelle je n'ai aucune confiance, malgré toutes leurs promesses.
Mettre tous ses oeufs numériques dans le même e-panier
Régulièrement, l'on voit passer des articles de personnes s'étant fait bannir du jour au lendemain par Google. Ces personnes ne savent souvent pas ce qu'on leur reproche (Google ne le précise pas) et ils perdent soudainement l'accès à une grande partie de leur vie numérique sans moyen d'opposition. Photos, documents professionnels, emails, calendriers, contacts, notes,...
What it's like to get locked out of Google indefinitely | Business Insider
Je ne me moque pas de ces gens avec des "on vous l'avait bien dit". C'est au contraire à force d'articles type "Confiez X à Google, ils ont un super produit" que l'on se retrouve dans ce genre de situation. C'est la responsabilité des Ars Technica qui aiment troquer la résilience pour la praticité.
Et maintenant, grâce aux passkeys, vous pouvez rajouter le risque de perdre l'accès aux comptes non-google ? Non merci. C'est également pour cette raison que je n'utilise pas les méchanismes OAuth "Sign in with Google", malgré leur aspect pratique non discutable.
Et donc, on jette tout ?
Pas forcément. La situation que j'ai décrite est l'état actuel de la techno poussée par les deux mastodontes que sont Google et Apple. Le concept de passkeys pour se débarasser des mots de passe est très intéressant. Retirer le facteur humain de la détection des sites de phishing est une très bonne chose et oui, les mots de passe sont un maillon faible de la sécurité.
Seulement, je ne pourrais recommander une solution qui implique de se lancer, une fois encore, tête baissée chez les GAFAMs. Les environnements de passkeys Google et Apple ne sont, par exemple, pas encore interopérables ; passer d'un téléphone Android à iOS s'avère difficile.
D'ailleurs, le support est encore très basique sous Linux. Une technologie ne doit pas être disponible sous Linux pour être mature (quoi que...) mais c'est un bon signe qu'elle est encore l'apanage des grands groupes. En attendant, je continuerai à utiliser un password manager et du deux facteurs.
Différents password managers comme 1Password, Dashlane ou Bitwarden ont prévu de proposer une solution de passkeys. On aura alors des acteurs indépendants qui proposeront des implémentations différentes avec plus de choix, et on l'espère, plus d'interopérabilité. Est-ce qu'ils proposeront autre chose que la biométrie ? On attend aussi des implémentations open source sous Linux.
Et pour conclure, je vous laisse avec cet article de Ars Technica qui répond à tous les reproches qu'ils se sont pris dans leur article mentionné en introduction et qui confirment que ce n'est pas pour moi.
Passkeys may not be for you, but they are safe and easy—here’s why | Ars Technica
Réagissez à cet aticle sur Mastodon.