Nous avons récemment annoncé que Proton Pass prend désormais en charge les clés d’accès ou clés d’identification (passkey) pour tout le monde, sur tous les appareils.
La compatibilité universelle est une approche unique pour l’implémentation des clés d’accès, malheureusement. Bien que les clés d’accès aient été développées par la FIDO Alliance(nouvelle fenêtre) et le World Wide Web Consortium(nouvelle fenêtre) pour remplacer les mots de passe et sont censées fournir des connexions « plus rapides, plus faciles et plus sûres à des sites internet et applications sur tous les appareils d’un utilisateur », leur déploiement n’a pas été à la hauteur de ces idéaux ambitieux.
Au lieu de cela, les premières organisations à proposer des clés d’accès, Apple et Google, ont privilégié l’utilisation de la technologie pour enfermer les gens dans leurs écosystèmes fermés plutôt que de fournir une solution sécurisée à tous. Cette approche fermée diminue la valeur des clés d’accès pour tous et rend moins probable leur adoption universelle, ce qui est crucial pour qu’elles puissent un jour remplacer les mots de passe.
Chez Proton, nous pensons que la protection de la vie privée, la confidentialité et la sécurité en ligne doivent être accessibles à tous. Si nous souhaitons parvenir à un meilleur internet pour tous, chacun doit pouvoir profiter des dernières avancées en matière de sécurité.
Cet article examine la promesse initiale des clés d’accès, comment les géants de la tech ont tenté de les détourner pour servir leurs propres intérêts et comment nous pouvons garantir que les clés d’accès atteignent leur plein potentiel pour tous.
Internet a besoin d’une meilleure sécurité des comptes
Les clés d’accès ont été développées parce qu’en 2013 déjà, les entreprises ont réalisé qu’elles devaient offrir aux utilisateurs une solution de sécurité des comptes meilleure que les mots de passe. Pour que vos mots de passe soient efficaces, chacun doit être fort et unique pour chaque compte en ligne. Compte tenu que la plupart des personnes possèdent plus de 100 comptes, cela signifie que vous devez utiliser un gestionnaire de mots de passe pour maintenir une sécurité de base des comptes.
En outre, les mots de passe ne fournissent pas la sécurité qu’ils promettent. Comme le souligne la FIDO Alliance(nouvelle fenêtre), les mots de passe sont à l’origine de 80 % des fuites de données. Les attaquants peuvent convaincre les gens de partager leurs mots de passe via des attaques d’ingénierie sociale, les récolter facilement dans les registres de fuites de données ou les réutiliser indéfiniment (ou du moins jusqu’à ce que le propriétaire du compte en crée un nouveau).
La promesse initiale des clés d’accès
Les clés d’accès ont été créées en 2016 et représentent un pas important vers la réduction de notre dépendance aux mots de passe. Les clés d’accès sont basées sur WebAuthn, une norme ouverte utilisée par des clés de sécurité telles que Yubikey.
L’idée derrière les clés d’accès était de créer une solution qui allège le fardeau des utilisateurs et atténue certains des pires aspects des mots de passe. Les clés d’accès sont en elles-mêmes une paire de clés cryptographiques, dont l’une réside sur votre appareil. Cette clé peut être découverte par des applications ou des navigateurs, permettant des connexions simples et sécurisées, et est synchronisée entre les appareils en utilisant le cloud et le chiffrement de bout en bout. Le résultat est une connexion sécurisée, presque sans effort et résistante au phishing (hameçonnage).
Cependant, pour que les clés d’accès soient une véritable solution de sécurité des comptes, elles doivent devenir universelles. Comme de nombreuses fonctionnalités en ligne, les clés d’accès bénéficient d’un effet de réseau. Plus il y a de sites et de services qui utilisent les clés d’accès, meilleure et plus simple est la solution pour les utilisateurs (avec l’avantage supplémentaire de sécuriser davantage les données de chacun). Malheureusement, les géants de la tech ont traité les clés d’accès comme une opportunité d’avancer leurs intérêts commerciaux plutôt que comme un outil pour fournir une sécurité universelle.
Les géants de la tech adoptent les clés d’accès pour maintenir leurs jardins clos
Apple a été la première grande entreprise à déployer les clés d’accès en 2022. En fait, c’est Apple qui a d’abord popularisé le nom « clés d’identification » (ou « clé d’accès »).
Cependant, Apple s’est principalement concentré sur l’optimisation des clés d’accès pour fonctionner uniquement avec ses produits plutôt que de les rendre interopérables et faciles à utiliser (comme on pourrait s’y attendre d’un outil développé en collaboration avec des dizaines d’autres organisations et entreprises). Par exemple, si vous créez une clé d’accès sur votre iPhone, elle se synchronise facilement avec les appareils Mac, mais elle est incroyablement difficile à utiliser sur un appareil Windows. En fait, si vous essayez d’utiliser une clé d’accès d’un appareil Apple sur un Android (par exemple, si vous avez un Mac et un Android), vous devez utiliser un code QR, il n’y a pas de synchronisation automatique. Cela a malheureusement créé un précédent que tous les autres déploiements majeurs de clés d’accès ont suivi.
Dans une tentative de rattraper Apple, Google a annoncé le support des clés d’accès en 2023, mais son implémentation est peu pratique. Par exemple, si vous utilisez Google Chrome comme navigateur sur un Mac, il utilise la fonction Trousseau Apple pour stocker vos clés d’accès. Cela signifie que vous ne pouvez pas synchroniser vos clés d’accès avec votre profil Chrome sur d’autres appareils. De même, Android a seulement récemment ajouté le support pour les fournisseurs de clés d’accès tiers (dans la version 14 du système d’exploitation Android). En plus d’une mauvaise expérience utilisateur, les clés d’accès de Google sont également limitées par la tentative de Google de vous enfermer dans sa plateforme. Par exemple, si vous créez une clé d’accès avec Chrome sur votre ordinateur portable, vous ne pouvez pas l’utiliser dans le navigateur Firefox sur votre smartphone. Et si vous aimez Chrome, mais que vous souhaitez utiliser un gestionnaire de mots de passe tiers pour stocker vos clés d’accès, Google vous oblige à suivre un long processus pour vous désinscrire du gestionnaire de mots de passe Google.
Et à la fois Apple et Google vous empêchent d’exporter vos clés d’accès, ce qui signifie que vous devrez les créer à nouveau si vous souhaitez passer à un autre gestionnaire de mots de passe. Ils utilisent également tous deux des implémentations de clés d’accès à code source fermé, rendant plus difficile pour les experts indépendants de vérifier leur sécurité.
Après avoir vu le déploiement des géants de la tech, plusieurs gestionnaires de mots de passe ont également précipité la sortie de leurs clés d’accès, résultant en une expérience utilisateur tout aussi maladroite. Certains gestionnaires de mots de passe ne prennent en charge les clés d’accès que via leur extension web, rendant difficile pour quiconque essaie de se connecter à la même application avec une clé d’accès sur son téléphone mobile. La plupart des gestionnaires de mots de passe qui prennent en charge les clés d’accès les proposent uniquement avec un abonnement payant, ce qui signifiait que le gestionnaire de mots de passe Google et le trousseau Apple étaient les seuls fournisseurs de clés d’accès gratuits viables jusqu’à ce que Proton Pass les intègre.
Les clés d’accès devraient être comme le HTTPS
La sécurité des comptes est à un point d’inflexion similaire à celui des connexions sécurisées au début des années 2010 : le problème a été identifié, une solution simple existe et il s’agit simplement d’imposer cette solution partout. Avec le HTTPS, des organisations comme l’EFF (avec HTTPS Everywhere(nouvelle fenêtre)) et Let’s Encrypt(nouvelle fenêtre) (qui a simplifié l’obtention d’un certificat TLS) ont mené la charge pour permettre aux personnes et aux sites internet de créer des connexions sécurisées et chiffrées. À présent, tous les navigateurs principaux imposent par défaut les connexions HTTPS et la grande majorité des sites internet prennent en charge le TLS. Cela a rendu internet considérablement plus sûr.
Bien que les clés d’accès soient certainement plus difficiles à mettre en œuvre correctement que le HTTPS, elles promettent un effet encore plus vaste sur la sécurité internet, si nous contraignons les géants de la tech à adhérer à leur intention universelle et originelle.
Les clés d’accès pourraient sécuriser presque tous les comptes contre les attaques qui causent tant de ravages aujourd’hui. Il n’existe pas de clé d’accès « faible », donc les attaquants ne pourront plus forcer leur entrée dans les comptes. Et les clés d’accès ne peuvent pas être exposées en masse comme les mots de passe, car les applications et les sites internet ne stockent que la clé publique, la clé privée reste en sécurité sur votre appareil. Si tout le monde utilisait des clés d’accès, une grande partie des effets néfastes des fuites de données disparaîtrait.
Apple et Google ont fait en sorte que si vous créez une clé d’accès, vous devez rester dans leurs applications et appareils pour l’utiliser. Cela limite considérablement leur potentiel et sacrifie leur utilité juste pour que les géants de la tech puissent ajouter une douve à leur jardin clos.
Proton privilégie la sécurité universelle
Nous avons essayé de rester fidèles à l’intention derrière les clés d’accès. Avec Proton Pass, les clés d’accès :
- Sont faciles à utiliser, quel que soit votre appareil ou plateforme
- Peuvent être partagées ou exportées rapidement
- Utilisent une implémentation open source
- Sont disponibles pour tous avec notre abonnement gratuit
Même s’il est peu probable qu’internet puisse bientôt se passer de mots de passe (voire jamais), nous croyons toujours que les clés d’accès devraient être aussi faciles à utiliser que possible, dans autant d’endroits et pour autant de personnes que possible. Si vous souhaitez utiliser des clés d’accès pour améliorer la sécurité de votre compte et accélérer vos connexions, vous pouvez vous inscrire gratuitement à Proton Pass dès aujourd’hui.
Et si vous croyez en notre mission et souhaitez nous aider à créer un meilleur internet où le respect de la vie privée est la norme, vous pouvez choisir un abonnement payant et accéder à encore plus de fonctionnalités premium.