Une femme utilise son Ipad pour une conversation sur Facetime, le 29 janvier 2019 à Rome.
©Vincenzo PINTO / AFP
La Minute Tech
Apple pourrait bien avoir définitivement tué le mot de passe
Apple prévoit de remplacer les mots de passe avec des codes d’accès (Passkeys). Avec l’aide de la biométrie, il sera possible d'utiliser Face ID ou Touch ID sur son iPhone, pour se connecter ailleurs.
Anthony Poncier
Anthony Poncier est Docteur en Histoire, membre du collectif Réenchanter Internet et expert en transformation digitale et en stratégies collaboratives. En cette qualité, il accompagne les entreprises dans la conception de leurs stratégies médias sociaux, ainsi que dans la création de leurs réseaux internes.
Atlantico : Apple souhaite tourner la page des mots de passe. La firme va proposer un nouveau système qui est censé révolutionner l’utilisation des mots de passe. En quoi consiste cette « révolution » via les PassKeys ?
Anthony Poncier : Cela fait des années que tout le monde cherche la solution aux mots de passe. La plupart des utilisateurs ont des mots de passe assez faibles généralement. La double authentification a donc été mise en place ou via les SMS. Il y a aussi des dispositifs d’identification par la voix.
Le projet d’Apple porte sur une reconnaissance biométrique à l’aide d’une empreinte digitale ou du visage via FaceTime. A partir de cette reconnaissance, cela va créer un mot de passe qui va être en lien avec cette reconnaissance biométrique. Il y a un côté double identification qui correspond à la création d’un mot de passe mais qui n’est pas stocké sur un serveur. Il est lié au device que l’on utilise comme c’est le cas pour Face ID sur Apple où notre reconnaissance faciale est inclue dans notre téléphone ou sur un autre support et n’est passur un serveur ce qui pourrait amener, si le serveur est compromis et qu’il y a une fuite, à perdre les identifiants. Le fait qu’il y ait deux identifications séparées est prometteur.
Le fait que cela devienne universel va rendre ce mécanisme accessible à tous, pour être multiplateforme. Si vous avez des mots de passe chez Apple via ce système-là, que se passe-t-il pour vos outils si vous migrez chez Android ou chez Google ? La question du cross-platform va se poser.
Ce cas de figure se pose également lorsque l’on change de téléphone avec la perte de ses identifiants ou en changeant de fournisseur. A quel moment le côté propriétaire va devenir une barrière par rapport à un système ouvert pour permettre une interconnectivité ? Jusqu’à présent ce n’est pas ce qui domine dans le domaine des nouvelles technologies.
À Lire Aussi
Comment se souvenir de tous ses mots de passe sans devenir fou
Est-ce que ce système pourrait être généralisé et « copié » par d’autres marques ou d’autres grands groupes dans le domaine des nouvelles technologies ?
Un consortium qui regroupe énormément d’acteurs de la Tech a priori travaille en collaboration avec Apple sur les téléphones et avec Google pour le système Android.
A titre de comparaison, quand Internet Explorer est arrivé, cela a commencé à remettre en cause le code lui-même. A travers tout ce que l’on appelle les communs, un référencement à la culture du logiciel libre, il y a une idée de partage, de non privatisation dans le monde de la Tech. Ce n’est pas une idéologie qui est dominante actuellement. Est-ce la voie que va suivre Apple pour son matériel et pour permettre une démocratisation de ce système ailleurs en gardant quelque chose d’ouvert ? Cela est possible mais il ne s’agit pas de la culture dominante. De plus en plus avec l’esprit de la blockchain, l’idée d’identification, de décentralisation, on retrouve cette idée d’universalité et de pouvoir traverser librement les différents systèmes et plateformes. Un certain nombre de projets étaient souvent bloqués par un changement de matériel ou de plateforme. C’est pour cela que beaucoup de personnes utilisent des stockages de mot de passe comme 1password car cela est plus simple pour changer.
La question demeure donc sur l’usage et sur le fait qu’il soit possible ou non de passer d’un device à un autre. L’utilisateur peut avoir la sensation d’être « prisonnier » de son fournisseur de matériel ou de son fournisseur d’accès.
Ce système sans mot de passe proposé par Apple semble être un pas en avant significatif pour la sécurité en ligne. Le fait d’éliminer les mots de passe devinables facilement ne va-t-il pas de fait réduire les probabilités d’attaques de phising et de piratages ?
À Lire Aussi
Les mots de passe ne garantissent plus notre sécurité et voilà ce qui devrait les remplacer
Effectivement c’est le but affiché par cette évolution. Si les internautes l’utilisent, cela va limiter le nombre de mots de passe les plus simples et très faciles à déjouer par les pirates informatiques comme « 12345 ».
Beaucoup de fournisseurs proposent dorénavant par défaut de composer un mot de passe plus dur avec quinze ou vingt caractères, un mélange numérique, des symboles, des lettres majuscules et minuscules… Pour la question du mot de passe en tant que tel, la sécurité sera donc renforcée.
Mais de plus en plus, quelles que soient les plateformes (le cas de Facebook notamment), il y a des fuites de données privées (des noms et des adresses), de mots de passe, des numéros de cartes bancaires. Les serveurs ne sont pas immunisés ou imperméables soit à cause de défauts ou à cause d’une véritable attaque de piratage.
Avec le système d’Apple et à travers cette séparation entre ce qui pourrait se trouver sur un serveur et ce qui se trouve sur notre device, la vraie sécurisation se trouve dans nos données biométriques qui sont conservées sur notre appareil sans être présentes sur un serveur externe quelque part dans le cloud. Cela concerne un support physique qui nous appartient.
Mais que se passe-t-il si notre téléphone se casse ? Sera-t-il possible de réaccéder à nos données avec notre nouvel appareil ? Est-ce que les mots de passe sont perdus à jamais ? Même si tout est en crypté et sur mon téléphone, en cas de vol, de perte ou de casse que se passe-t-il concrètement ?
Avec ce système, la sécurité est plus importante par rapport à un système de double clé avec un support physique qui m’appartient. Mais que se passe-t-il si l’on rencontre un problème avec ce support physique ?
À Lire Aussi
Voilà comment supprimer vos informations personnelles des résultats de recherche de Google
Ce ssystème du PassKey d’Apple est-il fiable et vraiment sécurisé ? Peut-on avoir toute confiance dans ce nouveau système ?
Depuis le scandale sur les données privées, Apple précise que lorsque l’on fait une requête sur Siri, cela reste sur le téléphone et ne part pas vers les serveurs. Il y a tout un tas de données qui restent dorénavant sur nos appareils, selon les engagements d’Apple. Mais dans les faits, cela est difficile à vérifier.
A titre d’exemple, l’application développée par le gouvernement dans le cadre de la lutte contre la Covid-19 était censée ne pas transmettre un certain nombre d’informations personnelles. La CNIL a pourtant décelé des transferts de données, pour la première version, qui n’étaient pas censées être transférées.
A partir du moment où il n’y a pas un système totalement décentralisé et que cela monte vers un serveur central, à moins de pouvoir suivre le flux de ce qu’il se passe, on ne peut jamais être sûr et certain à 100% sur les enjeux de transmissions et de transferts de données.
Mais il est vrai qu’Apple a fait de la vie privée son principal cheval de bataille commercial. Apple a plus à perdre à mentir sur cette pratique et sur ses pratiques vis-à-vis des données personnelles.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !