Il y a un peu plus d’un an, trois des plus grands géants de la Tech ont annoncé leur engagement en faveur des « passkeys », dispositif de connexion sans mot de passe que nous avons créé au sein de l’Alliance FIDO. Ainsi, nous avons pu offrir aux utilisateurs un aperçu de l’avenir d’une meilleure sécurité en ligne et d’une authentification plus simple.
Les changements technologiques de cette ampleur prennent du temps, comme peuvent en témoigner tous les spécialistes du domaine. Mais lorsqu’une innovation émergente atteint un point de basculement, beaucoup de choses peuvent se produire en douze mois. Ce recul permet de résumer l’état d’avancement de l’adoption des passkeys, marquant le début de la fin des mots de passe tels que nous les connaissons.
Passkeys, quèsaco ?
Pour ceux qui ne sont pas familiers avec le sujet, les passkeys sont conçus pour remplacer les mots de passe et autres méthodes d’authentification traditionnelles. Ces dispositifs fournissent une connexion plus rapide, plus facile et plus sûre aux sites web et aux applications sur tous les appareils d’un utilisateur. Ces clés cryptographiques sont hautement fiables et résistantes aux menaces de phishing, de bourrage d’identifiants et aux autres formes d’attaques utilisées pour pirater des comptes en ligne.
Les passkeys visent à pallier à la fois les failles de sécurité et les problèmes de scalabilité des solutions d’authentification traditionnelles, y compris les solutions double facteur (2FA) telles que les OTP par SMS. Le principe de fonctionnement est simple : lorsqu’on lui demande de s’identifier sur une application ou un site web, l’utilisateur valide simplement la connexion en effectuant la même action que celle qu’il utilise pour déverrouiller son appareil des dizaines de fois par jour, généralement un verrouillage biométrique ou encore un code PIN.
Où en sommes-nous aujourd’hui ?
Depuis leurs engagements il y a un an, Apple et Google ont tous deux préparé leurs systèmes d’exploitation pour que les fournisseurs de services puissent se connecter à l’aide de passkeys synchronisés entre appareils. Windows 10 et 11 prennent depuis longtemps en charge les passkeys associés aux équipements dans Windows Hello, et les clés de sécurité des appareils iOS ou Android peuvent également être utilisés pour se connecter à des sites dans Chrome ou Edge sur Windows.
Les fournisseurs de services se mobilisent également et mettent les passkeys à disposition. PayPal, Yahoo ! Japan, NTT DOCOMO, CVS Health, Shopify, Mercari, Kayak, Hyatt, DocuSign et d’autres encore se sont engagés à fournir des clés de connexion ou le font déjà. Et plus récemment, Google a annoncé que les passkeys étaient désormais accessibles à tous ses utilisateurs pour leur permettre d’abandonner complètement les mots de passe et la vérification en deux étapes lorsqu’ils se connectent à leurs comptes. Si ces étapes sont importantes dans notre périple vers la suppression des mots de passe, elles ne sont pas les seules que nous ayons franchies au cours des derniers mois.
Qui en veut ?
La réussite de toute nouvelle technologie repose en deuxième lieu sur l’adoption par les utilisateurs, et nous constatons qu’ils sont eux aussi prêts pour les passkeys. Selon une récente enquête que nous avons menée auprès d’utilisateurs américains, l’intérêt pour ces dispositifs a augmenté de près de 20 % depuis l’automne 2022, et plus de 57 % des répondants se disent prêts à utiliser les passkeys pour accéder à leurs comptes. Cet attrait est encore plus marqué chez ceux qui préfèrent et utilisent déjà des méthodes d’authentification plus fortes comme la biométrie : 65 % d’entre eux seraient prêts à adopter cette solution.
Outre la sécurité, les passkeys permettent également de résoudre une problématique majeure pour les consommateurs et les fournisseurs de services : 60 % des personnes interrogées ont abandonné des paniers d’achat en ligne en raison de mots de passe oubliés au cours des six derniers mois. Une identification sans contrainte est à la fois bénéfique pour les consommateurs, et favorable à la rentabilité des fournisseurs de services.
Avec l’annonce de Google, nous assisterons bientôt à la familiarisation d’un plus grand nombre de particuliers avec les passkeys, ce qui ne manquera pas de stimuler la curiosité des utilisateurs et d’accélérer les déploiements de cette technologie par les fournisseurs de services.
Et ensuite ?
L’élan de l’industrie et les renseignements fournis par les utilisateurs mènent à la même conclusion : l’avenir de l’authentification est là. Mais il reste encore beaucoup à accomplir. Les mots de passe ne sont pas près de disparaître d’ici un an, ni même deux. Mais à mesure que les passkeys se renforcent, que les utilisateurs se sentent plus à l’aise et que de plus en plus de fournisseurs de services les proposent comme alternative, les mois et les années à venir verront une évolution incontestable des mots de passe vers ce dispositif, ouvrant la voie à un univers numérique plus simple, plus sûr et plus transparent pour tous.
____________________________
Par Andrew Shikiar, Directeur exécutif et CMO de l’Alliance FIDO