Les clés d'accès, l'alternative aux mots de passe la plus sûre et la plus simple à utiliser

« J'ai oublié mon mot de passe , j'ai besoin d'aide, je ne me souviens plus de mon mot de passe, réinitialiser le mot de passe. » Nous avons tous été confrontés à la situation d’essayer d’accéder à notre courrier électronique, à nos réseaux sociaux ou à notre banque. Bien que la recommandation générale soit d'utiliser un gestionnaire de mots de passe (il génère des clés et les stocke en toute sécurité), l'utilisateur moyen vit dans une boucle de créer des mots de passe non sécurisés et de les réinitialiser presque périodiquement. Pour tout cela, il existe une solution supérieure : les « clés d’accès » ou « passkeys ».

Une clé d'accès est un identifiant numérique permettant de s'authentifier sur un site Web ou une application, sans utiliser de mot de passe . Au lieu de mémoriser des mots de passe complexes, l’utilisateur utilise simplement une méthode biométrique (comme une empreinte digitale ou une reconnaissance faciale) ou un code PIN local sur son appareil.

Par exemple, si un utilisateur souhaite se connecter à son compte Google à partir d’un navigateur, il peut utiliser son empreinte digitale sur son téléphone pour vérifier son identité, sans avoir à saisir de mot de passe. Cela est non seulement plus pratique, mais réduit également le risque de piratage dû au vol de clés.

Plus tôt ce mois-ci, Microsoft a annoncé que tous les nouveaux comptes créés par les utilisateurs (que ce soit pour Outlook, Office ou tout autre service nécessitant une connexion) utiliseront des clés d'accès par défaut . C’est une démarche que d’autres acteurs comme Google et Apple mettent déjà en œuvre.

Voici ce qu'ils sont, comment ils fonctionnent , pourquoi ils sont utiles et comment les activer dans un service.

L'authentification est le processus de vérification qu'un utilisateur est bien celui qu'il prétend être : lorsque nous saisissons notre nom d'utilisateur et notre mot de passe dans un e-mail, par exemple, le système prend ces informations comme confirmation que notre identité est authentifiée et nous accorde l'accès pour lire les e-mails.

Bien que cette idée semble simple, elle est beaucoup plus complexe en pratique, car le vol de compte est une constante. En 2024 , 1,7 milliard de combinaisons de noms d'utilisateur et de mots de passe volés ont été détectées circulant sur les forums du dark web, selon les données de FortiGuard Labs (Fortinet). De plus, une autre étude a révélé que 59 % des mots de passe analysés pouvaient être déchiffrés en moins d’une heure. Tout cela expose l’utilisateur à un risque permanent de ce que l’on appelle une prise de contrôle de compte .

« En pratique, les clés physiques ou les mots de passe sont plus sûrs et pratiques qu'un mot de passe. L'affirmation selon laquelle elles sont plus sûres est discutable, car elle dépend toujours du contexte de l'utilisateur, mais en généralisant, elle s'est avérée exacte », a déclaré à Clarín Iván Barrera Oro, « HacKan », développeur de logiciels spécialisé en cybersécurité.

Pour toutes ces raisons, Microsoft a mis en œuvre ce changement dans les clés d’accès, qui donne le ton au secteur. « Ce changement n'est pas isolé : Microsoft et d'autres organisations ont signé le «  Passkey Pledge », un engagement mondial visant à favoriser l'adoption des clés d'accès au cours de l'année prochaine. L'objectif est d'évoluer vers une expérience d'authentification plus sûre, plus simple et plus fluide, conforme aux normes du secteur et aux principes de sécurité par défaut », a déclaré à Clarín Marcelo Felman, directeur de la cybersécurité de Microsoft pour l'Amérique latine.

Le problème est souvent que les services que nous utilisons ne nous donnent pas le choix lorsqu'il s'agit de choisir comment nous connecter. Mais les grands acteurs, Microsoft, Apple, Google, Amazon et Meta, le font déjà.

Un mot de passe est un moyen plus sûr et plus simple de vérifier votre identité lorsque vous vous connectez à une application ou à un site web. Auparavant, pour accéder à un compte, vous deviez mémoriser et saisir un mot de passe, que vous étiez censé être le seul à connaître. Le problème, c'est que si quelqu'un d'autre mettait la main sur ces informations, il pouvait se faire passer pour vous. Les mots de passe changent la donne : ils restent un « secret », mais vous n'avez pas besoin de les mémoriser. Ils sont protégés par la sécurité de votre appareil et liés à un élément que vous seul possédez, comme votre empreinte digitale, votre visage ou le code PIN que vous utilisez pour déverrouiller votre téléphone », poursuit Felman.

« Par exemple, au lieu de saisir votre mot de passe dans une application bancaire, vous utilisez simplement votre visage pour vous connecter, comme pour déverrouiller votre téléphone. Ainsi, personne ne peut voler votre mot de passe, car il n'existe aucun mot de passe écrit qu'ils pourraient deviner ou divulguer. C'est une façon moderne, plus sûre et plus pratique de se connecter », explique-t-il.

Dans ce sens, et en gardant toujours à l'esprit que la sécurité est un concept relatif à l'utilisation et non absolu, les clés d'accès sont considérées comme les plus sûres du secteur. « Ils ne peuvent pas être volés ou devinés, contrairement à un mot de passe. Si quelqu'un obtient votre mot de passe, il peut accéder à vos comptes comme s'il était vous. Les clés d'accès, en revanche, sont protégées par un élément difficile à copier ou à falsifier, comme votre empreinte digitale, votre visage ou le code PIN que vous utilisez pour déverrouiller votre appareil. Personne ne peut se faire passer pour vous, à moins d'avoir un accès physique à votre appareil et à votre méthode de déverrouillage unique. Avec les mots de passe, toute personne connaissant votre « secret » peut se faire passer pour vous. Avec les clés d'accès, vous seul pouvez y accéder, car elles sont liées à votre identité et à l'appareil que vous utilisez », ajoute-t-il.

Dans le contexte actuel, il est difficile de croire que les mots de passe disparaîtront du jour au lendemain. « Actuellement, l'approche la plus courante est l'utilisation d'un nom d'utilisateur et d'un mot de passe, avec ou sans deuxième facteur, suivis d'une connexion sociale [c'est-à-dire avec les identifiants Google, par exemple]. Les clés d'accès gagnent progressivement du terrain. Certains services proposent une connexion à facteur unique, envoyant un lien unique et exclusif par e-mail, ce qui constitue une bonne alternative aux mots de passe. D'autres services, comme Uber, permettent une connexion sans mot de passe par SMS. Dans les deux cas, il s'agit d'une connexion à facteur unique, car le secteur cherche des solutions pour remplacer les mots de passe », explique HackAn.

C'est généralement une bonne idée d'utiliser cette méthode et de commencer à s'éloigner des mots de passe. « En général, les services ne permettent pas de choisir son mode de connexion. Cependant, si vous le pouvez, utiliser un lien unique et exclusif par e-mail + une clé physique ou un autre facteur secondaire, autre qu'un mot de passe, est très pratique et très sécurisé. Les mots de passe sont vulnérables au phishing. Il a récemment été prouvé que les clés d'accès le sont également, mais dans une moindre mesure. Certaines vulnérabilités ont même rendu possible le phishing de clés physiques, mais heureusement, ces cas sont rares », ajoute HackAn.

Les « clés physiques » sont souvent utilisées comme deuxième facteur d’authentification lors de l’accès à un compte personnel, offrant une couche de sécurité supplémentaire.

On assiste donc à une migration de l’industrie technologique vers les clés d’accès. « La transition des mots de passe aux clés d'accès sera progressive mais constante. Microsoft a déjà annoncé que tous les nouveaux comptes seront sans mot de passe par défaut, utilisant des clés d'accès comme méthode d'authentification par défaut. Autrement dit, les personnes qui créent un nouveau compte n'auront plus besoin de définir de mot de passe : elles pourront se connecter par reconnaissance faciale, empreinte digitale ou code PIN sécurisé, selon l'appareil. Pour ceux qui possèdent déjà un compte, l'option de passer aux clés d'accès est déjà disponible. Ce sera la méthode d'authentification recommandée , mais ceux qui préfèrent continuer à utiliser des mots de passe peuvent le faire pour le moment », explique Felman.

HackAn émet toutefois quelques réserves : « Je pense que c'est une bonne idée, même si elle est peut-être un peu hâtive. Les clés d'accès sont un bon concept, et les mots de passe sont toujours complexes, donc cette approche pourrait être judicieuse. Cependant, il est faux de prétendre que les clés d'accès sont invulnérables, et elles pourraient même ne pas fonctionner sur de nombreux appareils. J'ai du mal à les faire fonctionner sur mon ordinateur portable, par exemple, alors j'espère qu'ils développeront une implémentation appropriée permettant d'autres méthodes d'accès en cas de défaillance de la clé d'accès ou d'indisponibilité sur l'appareil en question. Il est positif d'aller dans une direction qui nous permette de reléguer les mots de passe au second plan », estime-t-il.

Felman est d’accord sur un point : il n’existe pas de solution miracle. « Aucune évolution technologique n'est sans défis. C'est pourquoi, aujourd'hui plus que jamais, la culture de la cybersécurité et la résilience numérique sont devenues une priorité stratégique. Au quotidien, cela se traduit par des actions aussi simples que la mise à jour des logiciels, le choix de méthodes d'authentification sécurisées et, surtout, la formation. Car il ne s'agit pas seulement de déployer de nouveaux outils, mais aussi de les accompagner par l'éducation, la sensibilisation et l'adoption de bonnes habitudes. C'est la seule façon de bâtir un environnement numérique plus sûr pour tous », conclut-il.

Bien que chaque service ait sa propre approche, les mécanismes sont généralement similaires et peuvent être trouvés dans les paramètres du compte, sous l'onglet « Sécurité ». Voici un exemple de Microsoft :

Une fois créé, il est conseillé de tester qu'il fonctionne correctement pour éviter les surprises.