Les passkeys, ou clefs d'authentification sans mot de passe, représentent une évolution majeure de la manière dont les entreprises gèrent les accès à leurs systèmes. Mais que valent-elles par rapport aux mots de passe traditionnels ? Si les passkeys peuvent offrir des avantages significatifs en termes de sécurité et de simplicité, leur adoption par les entreprises ne sera pas sans défis. Découvrez les différences entre ces deux technologies d'authentification et leurs cas d’usage pour les entreprises.
Qu'est-ce qu'un passkey : définition et fonctionnement
Passkeys : définition
Les passkeys représentent une rupture avec les méthodes d'authentification classiques. Plutôt que de reposer sur un secret partagé, comme un mot de passe, ils utilisent un système d'échange de clefs cryptographiques1. Plus précisément, les passkeys reposent sur la cryptographie asymétrique, avec une clef publique, que l'on peut partager sans risque, et une clef privée, qui demeure secrète et est stockée localement sur l'appareil de l'utilisateur.
Une des grandes forces des passkeys est qu'ils ne sont jamais transmis sur le réseau, ce qui minimise considérablement les risques d'interception ou de vol. Ils sont générés et stockés directement sur l'appareil, éliminant ainsi les problèmes associés à la mémorisation ou au stockage sécurisé des mots de passe.
L'alliance FIDO (Fast Identity Online)2 joue un rôle déterminant dans la standardisation de cette technologie. En développant des protocoles d'authentification, FIDO garantit l'interopérabilité et la sécurité des passkeys, facilitant leur adoption sur différents appareils et plateformes. Cependant, leur intégration dans les systèmes existants des entreprises peut nécessiter des adaptations techniques et une dépendance aux écosystèmes des grands fournisseurs technologiques.
Passkeys pour l'authentification : comment ça marche ?
Pour s’authentifier avec un passkey, tout commence par une tentative de connexion de l'utilisateur à un service en ligne. Le service en question envoie alors une requête d'authentification à l'appareil de l'utilisateur, qu'il s'agisse d'un smartphone ou d'un ordinateur. L'utilisateur doit ensuite confirmer cette demande, généralement par une action biométrique (empreinte digitale, reconnaissance faciale…) ou un code PIN. Cette étape permet de s'assurer que c'est bien le propriétaire de l'appareil qui tente de se connecter. Une fois la demande confirmée, l'appareil chiffre cette dernière à l'aide de sa clef privée, puis l'envoie au service en ligne. Le service, de son côté, déchiffre la requête à l'aide de la clef publique de l'utilisateur, préalablement enregistrée lors de la création du passkey. Si le déchiffrement réussit, l'utilisateur est authentifié et peut accéder au service.
Passkeys vs mots de passe : quelles différences ?
Les passkeys et les mots de passe sont deux approches fondamentalement différentes de l'authentification.
Les mots de passe, que nous connaissons tous, reposent sur un secret partagé entre l'utilisateur et le service en ligne. Ce secret doit être créé, mémorisé et saisi par l'utilisateur à chaque connexion. Sans outils adaptés comme un coffre-fort de mots de passe, cette méthode d’authentification présente plusieurs inconvénients en entreprise : complexité des mots de passe, risque de réutilisation, vulnérabilité face aux attaques par phishing ou par force brute…
Les passkeys, au contraire, ne nécessitent pas de mémorisation de secret. La clef privée, stockée de manière sécurisée sur l'appareil de l'utilisateur n'est jamais transmise au service en ligne. Seule la clef publique, qui ne permet pas de retrouver la clef privée, est utilisée pour l'authentification. Cette approche offre plusieurs avantages en termes de sécurité, comme la résistance aux attaques par hameçonnage, la suppression du risque de réutilisation des mots de passe, et une protection complète contre le vol de données.
Cependant, l’implémentation des passkeys en entreprise nécessite une infrastructure adaptée et compatible avec l’ensemble des systèmes et services utilisés. À ce titre, les mots de passe, bien que perfectibles, restent aujourd’hui plus flexibles et mieux intégrés dans les environnements professionnels.
Quelle méthode d'authentification choisir en entreprise ?
Les défis de l'adoption des passkeys en entreprise
1. Des problèmes liés à la gestion des clefs privées
Bien que les passkeys offrent une sécurité accrue, cette méthode d’authentification présente des défis en termes de gestion des clefs privées. Si un utilisateur perd son appareil ou si ce dernier est volé, il risque de perdre l'accès à ses systèmes. Dans un environnement professionnel, cette situation peut rapidement devenir problématique.
Pour pallier ce risque, des solutions de récupération des passkeys doivent être mises en place. Parmi les incontournables, des procédures de récupération d'accès robustes, par exemple en utilisant des outils de sauvegarde et de restauration de passkeys, ou en permettant la synchronisation des passkeys sur plusieurs appareils.
2. Des questions de confidentialité et de souveraineté des données
L'adoption des passkeys dans les entreprises soulève des préoccupations importantes concernant la dépendance accrue aux GAFAM (Google, Apple, Microsoft). Ces géants de la technologie jouent un rôle central dans l'écosystème des passkeys, car ils fournissent des services essentiels pour leur fonctionnement, tels que le stockage et la gestion des clefs privées sur leurs plateformes cloud. Cette centralisation des données d'authentification peut poser des problèmes considérables pour les entreprises européennes soucieuses de préserver la souveraineté de leurs données.
Le risque majeur réside dans le fait que l'authentification via passkeys dépend largement de l'infrastructure de ces entreprises tierces, ce qui place des informations sensibles sous le contrôle de fournisseurs externes. Cela peut compliquer la gestion de la conformité aux réglementations locales, notamment le RGPD3, qui impose des exigences strictes sur la localisation et la gestion des données personnelles, en particulier celles qui concernent l'authentification et l'identité des utilisateurs.
Lorsqu’une entreprise choisit d'adopter des passkeys, elle doit donc s'assurer que les données d'authentification ne traversent pas des frontières légales et ne sont pas stockées dans des juridictions qui ne garantissent pas un niveau de protection des données équivalent à celui exigé par le RGPD. Par ailleurs, la possibilité de migrer des données d'authentification entre différentes plateformes ou de récupérer des accès en cas de perte de l'appareil peut être compliquée, particulièrement si ces services sont gérés par des acteurs situés en dehors de l'Union Européenne.
Mots de passe : un standard de sécurité pas forcément dépassé
1. Une technologie bien ancrée dans les habitudes
Les mots de passe demeurent la méthode d'authentification la plus couramment utilisée dans le monde entier. Leur adoption massive s'explique par leur simplicité et leur compatibilité avec presque tous les systèmes et applications existants, qu'il s'agisse de logiciels, de services cloud ou d'infrastructures sur site. Contrairement aux passkeys, qui nécessitent des ajustements techniques importants dans les systèmes d'information, notamment la mise à jour ou la révision des solutions d'authentification existantes, les mots de passe n'imposent pas de transformations majeures dans les infrastructures en place. Cette simplicité les rend faciles à implémenter, et leur adoption ne nécessite que peu de ressources en termes de formation ou d'adaptation.
2. Une sécurisation renforcée grâce aux outils adaptés
Même si les mots de passe sont souvent critiqués pour leur vulnérabilité, il est possible de les sécuriser de manière significative en combinant plusieurs outils.
L'utilisation de gestionnaires de mots de passe permet notamment de générer, stocker de manière sécurisée et utiliser des mots de passe complexes sans avoir à les mémoriser. Ces outils offrent également des fonctionnalités avancées de protection contre les attaques de type force brute et phishing, en permettant la création de mots de passe longs et uniques, tout en supprimant le besoin de réutiliser les mêmes identifiants sur différents services.
De plus, l'intégration de l'authentification multifacteurs avec les mots de passe rajoute une couche de sécurité supplémentaire sur la gestion des accès. L'usage de facteurs d'authentification supplémentaires, comme un code OTP (One-Time Password) ou une clef physique (par exemple, une clef USB sécurisée ou un appareil mobile pour une validation biométrique), renforce considérablement la sécurité des mots de passe en entreprise.
Par exemple, un gestionnaire de mots de passe comme LockPass permet non seulement de créer des secrets robustes, mais aussi de les associer à un facteur supplémentaire, ce qui limite les risques liés à des pratiques d'authentification faibles, comme l'utilisation de mots de passe simples ou leur réutilisation sur plusieurs plateformes.
3. Une flexibilité qui s'adapte à l'entreprise
Les mots de passe sont très flexibles et peuvent être utilisés dans une multitude de contextes professionnels. Que ce soit pour des applications métiers spécifiques, des services cloud ou des réseaux privés virtuels (VPN), les mots de passe offrent une compatibilité étendue avec les systèmes existants. Ils permettent aux entreprises de sécuriser divers types d'accès à des données sensibles ou à des ressources critiques sans avoir à modifier l'infrastructure sous-jacente.
En outre, les entreprises peuvent définir des politiques de gestion des mots de passe très précises en fonction de leurs besoins de sécurité. Par exemple, des exigences strictes peuvent être mises en place concernant l’entropie des mots de passe, ou sur l’interdiction de leur réutilisation. Ces politiques peuvent également être adaptées aux différents types d'utilisateurs ou de systèmes (utilisateurs administrateurs, employés ou prestataires externes), permettant ainsi de mieux répondre aux exigences de sécurité spécifiques à chaque cas d'usage.
Vous l’aurez compris, ces caractéristiques rendent les mots de passe particulièrement adaptés aux organisations qui ont besoin de solutions de sécurité souples et personnalisables, sans nécessiter un investissement massif dans de nouvelles technologies ou dans des processus de transformation numérique.
Passkeys : quel avenir dans le monde de l'entreprise ?
Les passkeys offrent une alternative prometteuse aux mots de passe traditionnels, avec des avantages en matière de sécurité et de simplicité, notamment en réduisant les risques de phishing et de violations de données. Cependant, leur adoption à grande échelle en entreprise soulève plusieurs défis.
Comme évoqué plus haut, un des principaux enjeux réside dans la gestion des clefs privées. Bien que les passkeys soient stockés localement sur l'appareil de l'utilisateur, leur sécurité peut être compromise en cas de perte, vol ou dysfonctionnement de l'appareil.
La souveraineté des données et la conformité aux réglementations cyber, sont également des préoccupations majeures. L'adoption des passkeys implique souvent des services tiers, ce qui peut poser des problèmes pour les entreprises soucieuses de protéger les informations sensibles et de garantir la conformité juridique.
Par ailleurs, bien que les passkeys simplifient l'authentification dans de nombreux cas, des complexités peuvent apparaître pour les utilisateurs qui possèdent plusieurs appareils ou qui doivent accéder à des services à partir de différents environnements. L'impact sur l'expérience utilisateur doit être soigneusement évalué.
Dans ce contexte, une approche hybride semble la plus judicieuse. Les entreprises peuvent expérimenter les passkeys dans des cas d'usage spécifiques tout en maintenant les méthodes d'authentification existantes. Cette stratégie permet de se familiariser avec la technologie tout en garantissant un niveau de sécurité optimal.
En conclusion : bien que les passkeys offrent des avantages significatifs, il est peu probable qu'ils remplacent complètement les mots de passe à court terme. Ces derniers restent largement utilisés et offrent une flexibilité appréciable pour différents cas d'usage, surtout dans un contexte professionnel. L'avenir de l'authentification en entreprise résidera probablement dans une combinaison de passkeys, mots de passe sécurisés, et MFA.
Sources :
1 https://cyber.gouv.fr/publications/mecanismes-cryptographiques
2 https://fidoalliance.org/
3 https://www.cnil.fr/fr/reglement-europeen-protection-donnees
