Apple veut faire disparaître totalement les mots de passe (dès cette année)

 

À l'occasion de la WWDC, Apple a dévoilé Passkey, un moyen de créer un compte et de s'identifier sur un site grâce aux systèmes biométriques, sans avoir à créer le moindre mot de passe.

Pour se connecter à une application ou un site Web aujourd’hui, il faut créer un compte qui se constitue généralement d’un identifiant et d’un mot de passe. Certains systèmes de connexion permettent d’utiliser le compte d’une autre plateforme (Google, Facebook, Apple) pour se connecter plus facilement, mais ce compte-là reprend tout de même toujours cet iconique duo login/mot de passe… Mais jusqu’à quand ?

Apple veut faire disparaître les mots de passe

À l’occasion de la WWDC, lors d’une session intitulée Move beyond passwords (« Aller au-delà des mots de passe« ), Apple a présenté une nouvelle solution visant à faire disparaître les mots de passe. Depuis plusieurs années déjà, il est possible d’utiliser la biométrie de son smartphone pour s’identifier plus facilement sur certaines applications et Safari l’intègre également depuis l’année dernière sur iOS et macOS. Désormais, Apple veut aller plus loin en permettant de créer un compte directement avec de la biométrie plutôt qu’un mot de passe.

Dans le courant de l’année, il deviendra donc possible, sur les sites et applications qui adoptent Passkeys, de créer un compte sans jamais indiquer le moindre mot de passe, mais en utilisant plutôt les systèmes d’identification biométrique d’iOS, iPadOS et macOS (Touch ID et Face ID). La technologie en question s’intègre au porte-clés iCloud (donc chiffré de bout en bout), comme un mot de passe traditionnel, et se base sur le protocole WebAuthn, développé par la FIDO Alliance (Fast IDentity Online), un regroupement de sociétés (dont Apple) qui cherchent à améliorer la sécurité sur le Web et à réduire le risque de hacks sur le Web, notamment en faisant justement disparaître les mots de passe.

Pourquoi faire disparaître le mot de passe ?

Un mot de passe reste l’élément le plus recherché par les pirates informatiques. Une fois obtenu, il donne accès à un grand nombre d’informations et, de fil en aiguille, permet parfois d’accéder à d’autres comptes. C’est pour cela que les campagnes de phishing sont aussi nombreuses pour tenter de vous soutirer votre mot de passe. Et parfois, même un très bon gestionnaire de mots de passe ne suffit pas, puisque le mot de passe reste partagé avec le serveur du service auquel vous tentez de vous connecter, et peut donc être intercepté en cas de faille.

En preview seulement

Passkeys arrive pour le moment uniquement en preview sur iOS 15 et macOS Monterey et nécessite d’activer une fonctionnalité avancée des deux systèmes pour en profiter. Il faudra donc encore un peu de temps avant de pouvoir se passer totalement de mot de passe, même si la technologie sera disponible dès cette année sur certains appareils.

Par ailleurs, si vous utilisez une plateforme concurrente (Android ou Windows notamment), il vous faudra garder un iPhone ou un Mac à portée de main pour vous connecter aux services sur lesquels vous vous êtes inscrits à l’aide de Passkeys.