Clé d'accès — Wikipédia

Une clé d'accès est une preuve numérique utilisée comme méthode d'authentification pour un site web ou une application^[1]^,^[2]^,^[3]. La clé d'accès est un type d'authentification sans mot de passe, promu par le World Wide Web Consortium et l'Alliance FIDO^[4].

Conception

Les clés d'accès sont souvent stockées par le système d'exploitation ou le navigateur web et elles peuvent être synchronisées entre les appareils d'un même écosystème à l'aide du nuage informatique^[1]^,^[5], mais elles peuvent également être limitées à un seul appareil, comme une clé de sécurité physique^[2].

Les clés d'accès sont conçues pour être plus pratiques et plus résistantes au hameçonnage que les méthodes d'authentification conventionnelles^[4]^,^[6]. Elles sont normalement sécurisées par la possession (de l'appareil ou de la clé de sécurité) et utilisent souvent la biométrie comme facteur de sécurité supplémentaire, sans que l'utilisateur n'ait à mémoriser un mot de passe.

Certains croient à tort que les clés d'accès sont spécifiques aux appareils Apple^[7] parce qu'Apple a été une des premières compagnies à annoncer le support de ces clés. En septembre 2023, plus de 99 % des appareils de toutes marques prennent en charge WebAuthn, ce qui montre que la technologie des clés d'accès est largement acceptée et implantée par toutes les compagnies^[8].

Histoire

Le terme de « clés d’accès » est popularisé en mai 2022 par Google^[9] et en juin 2022 par Apple^[6]^,^[1], lorsqu'ils annoncent qu'ils ajouteront la prise en charge de cette norme.

Google annonce qu'Android et Google Chrome prendraient en charge les clés d'accès en octobre 2022^[10] et les comptes Google personnels en mai 2023^[11].

Dashlane est la première entreprise à prendre en charge le stockage des clés d'accès dans les extensions de navigateur, avec une version publique en août 2022^[5], suivie par NordPass en février 2023^[12], 1Password en septembre 2023^[13] et Bitwarden en novembre 2023^[14]. En mai 2023, Google a annoncé l'intégration des clés d'accès dans ses services de connexion^[15].

Fonctionnement

Un utilisateur enregistré ou non veut utiliser une clé d'accès, il doit l'enregistrer avant. Exemple: https://webauthn.io/

Enregistrement

L'utilisateur donne un nom à la clé et demande au site d'enclencher le WebAuth. Le site doit être sécurisé en https. Le site a généré au préalable une authentification défi-réponse. Le navigateur demande à l'utilisateur d'enregistrer la clé qu'il génère et stocke sur l'ordinateur. C'est la clé privée. La clé publique est transmise au serveur qui la vérifie (grâce au défi) et la stocke.

Utilisation

Le système inverse a lieu. Le serveur crée de nouveau un challenge envoyé à l'utilisateur. WebAuth demande à l'utilisateur de choisir et d'authentifier la clé. Ensuite la clé publique et la réponse est renvoyé au serveur qui identifie la clé et valide le challenge. L'utilisateur est donc bien porteur de la clé privée et il le connecte au compte associé.

La clé privée n'est jamais transmise au serveur et tout repose sur la cryptographie asymétrique.

Références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Passkey (credential) » (voir la liste des auteurs).

↑ ^{a b et c} Esther Shein, « Apple touts Passkey, its new privacy feature, at WWDC 2022 », TechRepublic, TechnologyAdvice,‎ 6 juin 2022 (lire en ligne, consulté le 27 avril 2023)
↑ ^{a et b} « Passkeys (Passkey Authentication) », sur FIDO Alliance, FIDO Alliance (consulté le 27 avril 2023)
↑ « Passwordless login with passkeys », sur Google Developers, Google (consulté le 27 avril 2023)
↑ ^{a et b} « Expansion of FIDO standard and new updates for Microsoft passwordless solutions », sur Tech Community, Microsoft (consulté le 27 avril 2023)
↑ ^{a et b} « Ushering in the Passwordless Future at Dashlane », sur Dashlane, Dashlane (consulté le 4 mai 2023)
↑ ^{a et b} Taylor Clemons, « WWDC 2022: Apple announces Passkey feature to eliminate passwords across platforms », ZDNET,‎ 6 juin 2022 (lire en ligne, consulté le 27 avril 2023)
↑ Umar Shakir, « Reminder: passkeys are not just from Apple », The Verge, Vox Media,‎ 6 août 2022 (lire en ligne, consulté le 27 avril 2023)
↑ (en) « Why PayPal's global Passkey Rollout makes sense: September 2023 Update & Insights into Passkey-Readiness », sur www.corbado.com (consulté le 25 octobre 2023)
↑ « The beginning of the end of the password »
↑ David Nield, « How to Use Passkeys in Google Chrome and Android », WIRED, Condé Nast,‎ 16 octobre 2022 (lire en ligne, consulté le 4 mai 2023)
↑ Jeff Burt, « Google opens up passkeys to personal account holders », The Register, Situation Publishing,‎ 4 mai 2023 (lire en ligne, consulté le 4 mai 2023)
↑ « What Is a Passkey? », sur NordPass, Nord Security (consulté le 4 mai 2023)
↑ « Now available: Save and sign in with passkeys using 1Password in the browser and on iOS | 1Password », sur 1Password Blog, 20 septembre 2023 (consulté le 29 septembre 2023)
↑ Adrian Kingsley-Hughes, « Bitwarden rolls out passkeys management to all users, including free accounts » [archive du 10 novembre 2023], sur ZDNET, 8 novembre 2023 (consulté le 10 novembre 2023)
↑ ThioJoe, « Google Accounts Just Got an AWESOME New Feature », sur YouTube, 28 mai 2023 (consulté le 17 juin 2023)

Portail de la sécurité informatique

[techrepublic-1] {a b et c} Esther Shein, « Apple touts Passkey, its new privacy feature, at WWDC 2022 », TechRepublic, TechnologyAdvice,‎ 6 juin 2022 (lire en ligne, consulté le 27 avril 2023)

[fido-2] {a et b} « Passkeys (Passkey Authentication) », sur FIDO Alliance, FIDO Alliance (consulté le 27 avril 2023)

[google-3] « Passwordless login with passkeys », sur Google Developers, Google (consulté le 27 avril 2023)

[microsoft-4] {a et b} « Expansion of FIDO standard and new updates for Microsoft passwordless solutions », sur Tech Community, Microsoft (consulté le 27 avril 2023)

[dashlane-5] {a et b} « Ushering in the Passwordless Future at Dashlane », sur Dashlane, Dashlane (consulté le 4 mai 2023)

[zdnet-6] {a et b} Taylor Clemons, « WWDC 2022: Apple announces Passkey feature to eliminate passwords across platforms », ZDNET,‎ 6 juin 2022 (lire en ligne, consulté le 27 avril 2023)

[verge-7] Umar Shakir, « Reminder: passkeys are not just from Apple », The Verge, Vox Media,‎ 6 août 2022 (lire en ligne, consulté le 27 avril 2023)

[8] (en) « Why PayPal's global Passkey Rollout makes sense: September 2023 Update & Insights into Passkey-Readiness », sur www.corbado.com (consulté le 25 octobre 2023)

[9] « The beginning of the end of the password »

[wired-10] David Nield, « How to Use Passkeys in Google Chrome and Android », WIRED, Condé Nast,‎ 16 octobre 2022 (lire en ligne, consulté le 4 mai 2023)

[theregister-11] Jeff Burt, « Google opens up passkeys to personal account holders », The Register, Situation Publishing,‎ 4 mai 2023 (lire en ligne, consulté le 4 mai 2023)

[nordpass-12] « What Is a Passkey? », sur NordPass, Nord Security (consulté le 4 mai 2023)

[13] « Now available: Save and sign in with passkeys using 1Password in the browser and on iOS | 1Password », sur 1Password Blog, 20 septembre 2023 (consulté le 29 septembre 2023)

[14] Adrian Kingsley-Hughes, « Bitwarden rolls out passkeys management to all users, including free accounts » [archive du 10 novembre 2023], sur ZDNET, 8 novembre 2023 (consulté le 10 novembre 2023)

[thiojoe-15] ThioJoe, « Google Accounts Just Got an AWESOME New Feature », sur YouTube, 28 mai 2023 (consulté le 17 juin 2023)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]