RCJSoon the end of passwords
RCJ S3E35 - Chronique Tech -
Bientôt la fin des mots de passe
Les mots de passe sont une méthode universelle de sécurité standard pour protéger nos comptes en ligne depuis le début d’Internet. Cependant, avec l'augmentation des cyberattaques, nous sommes contraints à les changer plus régulièrement, les faire évoluer pour les rendre plus sécurisés. L’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d'Information, recommande depuis 5 ans une longueur minimale de 12 caractères comprenant des majuscules, minuscules, chiffres et caractères spéciaux. Ainsi il faudra plus de 3000 ans pour que votre mot de passe soit hacké.
Néanmoins, les habitudes, les noms des enfants ne faisant pas 12 caractères et j’en passe font qu’une minorité d’entre nous ont appliqué cette règle.
Mais les choses vont radicalement changer. Les applications que nous utilisons tous les jours, que ce soit les réseaux sociaux, nos banques et d'autres applications sensibles vont bientôt nous forcer à ne plus utiliser du tout ces mots de passe.
En effet, un nouveau système de sécurisation des comptes va très rapidement arriver dans vos appareils : les clé d’accès ou passkeys. Vous avez déjà sûrement utilisé ceux-ci en validant via un code reçu par votre banque, un achat sur Internet.
Pour utiliser ces passkeys, il suffit d’avoir un appareil capable de servir d’authentificateur pour configurer une clé, puis d’utiliser une méthode biométrique sur cet appareil (reconnaissance faciale, empreinte digitale) ou un code reçu par SMS pour autoriser les connexions.
Comment cela fonctionne techniquement parlant. Ces passkeys sont basés sur les normes FIDO, ils gèrent vos informations de connexion qui génèrent une clé publique et une clé privée. Pour une passkey, la clé publique est détenue par le site Web sur lequel vous vous connectez qui sera généralement votre adresse email ou votre numéro de téléphone portable par exemple, tandis que vous avez la clé privée.
Vous pouvez stocker cette clé privée sur un appareil (généralement un smartphone), mais aussi la synchroniser avec un compte pour y accéder depuis d’autres appareils.
Les deux clés ensemble, à savoir l’addition de la clé publique et de la clé privée vous permettent d’accéder au service ou l’application demandée.
Les passkeys offrent ainsi une protection quasi définitive et bien supérieure contre les violations de données. Les applications ne détiendront que votre clé publique et plus rien de privé sera stocké par ces services. Je précise que si vous vous faîtes voler ou perdez votre téléphone, vous désactiverez la carte SIM et le système d’authentification ne pourra émettre de clé privée, il sera donc impossible de se connecter avec vos accès.
Malgré ces avantages, il y a aussi quelques inconvénients à prendre en compte. Tout d'abord, les passkeys ne sont pas disponibles sur tous les appareils ou pour tous les services en ligne. De plus, certains utilisateurs peuvent être réticents ou être dépassés à utiliser ces outils, la nouvelle génération très agile en matière de technologie devra aider les grands parents de plus en plus souvent pour réaliser un achat en ligne.
A la semaine prochaine !