Depuis quelques temps, les passkey sont à la mode. Google, WhatsApp et autres géants du numérique adoptent cette technologie, avec pour but de remplacer les mots de passe. Pour mieux comprendre son fonctionnement et ses usages, faisons le point !

Depuis plusieurs années, les mots de passe sont remplacés par de nouvelles technologies. FaceID, empreintes et données biométriques, schémas de sécurité, confirmation par SMS… On ne compte plus les alternatives diverses et variées proposées sur le marché. Mais les acteurs du Web cherchent à unifier les mesures de sécurité au travers d’une technologie universelle : les passkeys.

Comment fonctionnent les passkey ?

En bon français, passkey signifie clé d’accès. Cette alternative au mot de passe, créée par l’Alliance FIDO, fonctionne donc au travers d’un système dit de paires cryptographiques. En d’autres termes, un passkey dispose de deux clés : une privée, stockée localement sur l’appareil, et une publique, partagée avec un service.

Prenons un exemple : vous souhaitez utiliser un passkey pour faciliter votre connexion à Gmail. Plutôt que de vous demander de créer un mot de passe et de le retenir, le service de sécurité va déposer sur la plateforme la clé publique, qui ne contient aucune autre information que celles nécessaires pour la combinaison avec la clé privée. Lorsque vous vous connectez à Gmail, la clé privée ainsi que la clé publique vont communiquer pour vérifier si elles s’emboîtent, comme dans un puzzle.

Passkey vs mot de passe : lequel est le plus sûr ?

Alors, logiquement, se pose la question de la sécurité. Dans les faits, le passkey présente de nombreux avantages. Tout d’abord, les clés publiques et privées de ce système communiquent de manière cryptée (E2E) ; la clé privée est inaccessible à toute tierce personne, là où la clé publique, même piratée, ne donnera aucune information permettant à un hacker de se connecter. En face, la sécurité d’un mot de passe est bien plus volatile, dépendant de la protection de son stockage, des transmissions d’informations… Un point pour le passkey.

Autre avantage du passkey, c’est sa simplicité. Ici, contrairement au mot de passe, pas besoin de chercher une combinaison de caractères complexes et de la retenir : tout se fait de manière automatisée. Deuxième point pour les passkeys. Enfin, le passkey est souvent relié à des éléments de sécurité complémentaires : FaceID, empreinte, validation à deux facteurs… Mais, vu que les clés communiquent automatiquement entre elles, l’utilisateur ne ressent qu’une seule étape de sécurité. Troisième point pour le passkey.

Bon, alors, si le passkey l’emporte haut la main, pourquoi n’est il pas déployé à plus grande échelle ? Tout simplement parce que cette technologie requiert un certain niveau d’infrastructure et de support technique, là où le mot de passe est maîtrisé par tous les secteurs d’industries. Cela signifie donc plus de coûts pour adopter le passkey : comme dans tout domaine, le marché n’adopte une nouveauté qu’à condition qu’elle n’impacte pas la trésorerie.

Et puis, il existe un frein à l’adoption majeur. Comme vu précédemment, les passkeys viennent avec une double confirmation, généralement biométrique. Pour beaucoup d’utilisateurs, il y a toujours une gêne à laisser Google détenir votre empreinte digitale, ou Apple scanner votre visage. Et sur ce point, ne nous mentons pas, difficile de leur donner tort.