Apple veut en finir avec les mots de passe et voilà ce que cela veut dire pour vous

Atlantico : Apple lancera prochainement deux nouveaux systèmes d’exploitation : iOS 16 et macOS Ventura. Quelles sont les nouveautés pour cette prochaine mouture, notamment sur le plan de la sécurité ?

Gilles Dounès : Comme chaque année, iOS 16 et son pendant iPadOS 16, ainsi que macOS Ventura apporte son lot de nouveautés mais, au chapitre de la sécurité, c'est la suppression des mots de passe grâce à une nouvelle fonction, baptisée Trousseaux d'accès (Passkeys en version originale) qui est importante. Il s'agit de remplacer la multitude des mots de passe utilisés sur les sites Web ou dans les applications par une clé privée unique, à la manière des passes universels qui ouvrent toutes les serrures dans un immeuble, ou une entreprise, à la disposition de certains responsables. 

Le mot de passe est vraiment le point faible de la sécurité, dans la mesure où celui-ci peut être trop faible, trop commun parce qu'il est utilisé plusieurs fois par le même utilisateur, (ou même par des milliers comme par exemple 12345678), parce qu’ils sont facilement mémorisables. Il existe bien des solutions de « trousseau » par application tierce, ou dans le système comme pour iOS, iPadOS ou macOS, qui regroupe l'ensemble des mots de passe, avec accès grâce à un mot de passe unique. Mais cela ne résout pas les cas où les pirates prennent un contrôle quasi total des serveurs qui abritent les sites Web ou les applications. 

Comment fonctionne la clé privée unique ? Quelles différences avec les mots de passe traditionnels ?

La fonction de clé unique utilise un système d'identification avec un chiffrement à deux facteurs, un peu à la manière dont fonctionne Pretty Good Privacy (PGP), avec une clé publique et une clé privée. Mais ici, le système repose sur l'API d'authentification Web (WebAuthn), qui a été développée par la FIDO Alliance et le World Wide Web Consortium (WC3). 

Concrètement, deux clés numériques connexes, chiffrées, sont générées par le système au moment de la création de la clé d'authentification : l'une des deux clés est « publique », dans le sens où elle est stockée à l'extérieur, sur les serveurs d'Apple, tandis que l'autre clé reste « secrète », dans le sens où elle ne quitte pas l'appareil sur lequel elle a été créée. Le serveur ne sait jamais quel est votre clé privée, explique Garett Davidson qui dirige le projet chez Apple, dans l’une des vidéos destinées aux développeurs en marge de la conférence des développeurs Apple (WWDC) en juin dernier. 

Lorsque l'on se connecte à l’un de ses comptes, le site Web ou le serveur de l'application envoie à l'appareil, iPhone, iPad ou ordinateur, une sorte de défi, et demande à l'appareil de prouver que c'est bien l'utilisateur légitime qui essaie de se connecter. Un peu à la manière des questions de confiance (Quel est le nom de jeune fille de votre maman, Quel était votre groupe préféré quand vous étiez adolescent) lorsque l'on voulait récupérer son mot de passe au début d'Internet. 

La clé privée, stockée sur votre appareil, est capable de répondre à ce défi avec une réponse unique, réponse qui est ensuite validée par la clé publique stockée sur le serveur Apple. Mais à la différence de la question de confiance, personne ne peut la récupérer ici ou là pour prendre le contrôle du compte par ingénierie sociale*, comme cela s'est produit avec un certain nombre de célébrités. 

On ne parle plus alors de « phishing » (hameçonnage) mais de « whaling » (pêche à la baleine) dans des affaires qui ont un certain retentissement, mais le problème concerne tout le monde, à bas-bruit et même de plus en plus aigü. Jamf, qui déploie des solutions de gestion de flottes pour les entreprises et les institutions à pointer qu’entre août 2020 et septembre 2021, les attaques de phishing réussies avaient augmenté de 160%. La majeure partie des attaques vise désormais les utilisateurs de mobiles, en situation de moindre concentration, et dont un sur dix a été effectivement victime.  

Rien d’étonnant à cela : le lien vérolé qui sert d’hameçon ne se cache plus guère dans un email, où il est d’ailleurs plus difficile de déterminer si le lien est factice sur un écran de petite taille, avec 9 sites de phishing sur 10 qui s’abritent désormais derrière le fameux cadenas et la balise « sécurisée » https pour abuser leurs victimes. Mais surtout, la menace a changé : elle emprunte désormais de plus en plus de applications de messagerie : SMS, WahtsApp, Messenger, Instagram ou Linkedln par exemple.

Cette clé privée unique est-elle réellement plus en mesure de nous protéger des hackers ?

C'est là tout l'intérêt de cette méthode : il n'y a pas de mot de passe stocké, que ce soit chez l'utilisateur ou sur le serveur distant, et chaque requête de connexion fait l'objet d'une transaction et d'une réponse uniques, cryptées, et garanties par un interlocuteur tiers (Apple). Du coup, pas ou infiniment moins de fuite possible, du moins en état actuel de la technologie : la porte d'entrée des systèmes c'est vous, par la biométrie, avec Touch ID ou Face ID. 

Il n'y a pas de réponse unique, dont on pourrait avoir connaissance par la ruse ou que l'on pourrait deviner parce que le mot de passe en question est trop facile, utilisé plusieurs fois sur différents sites, ou que l'utilisateur lui-même pourrait livrer par la ruse. C'est d'ailleurs ce même système de réponse unique à la requête d'un serveur qui est utilisé par Apple Pay, et par les nouvelles générations de carte bancaire. 

Comme de nombreuses personnes je suppose parmi vos lecteurs, j'ai reçu une alerte ce samedi matin en me recommandant de changer tout un tas de mots de passe, vraisemblablementà la suite de la découverte d'une attaque particulièrement sophistiquée sur la plateforme Linux par le malware Shikitega. Avec Code d’Accès, cela aurait été inutile. 

Ce dispositif est-il viable si l’on n’utilise pas exclusivement des appareils Apple ?

Code d’Accès est la façon dont Apple a adapté le protocole du consortium FIDO dans sa propre API, qu'elle met à la disposition de ses développeurs avec ses différents Kits de Développement Logiciel. Google, Microsoft, Meta et Amazon font également partie de l'alliance FIDO : l'intérêt du système est qu'il est interopérable.

Chaque société aura une manière légèrement différente d’implémenter le procédé, mais par exemple pour utiliser Google Chrome pour se connecter à un site Web, l'identification passera par un QR code contenant une clé de cryptage unique, et scanné par le smartphone. Il sera dès lors possible d'utiliser le site Web dûment identifié, grâce a la liaison Bluetooth, exactement de la manière dont on s’identifie sur WhatsApp pour installer l’application Web de bureau. 

L’objectif d’Apple est-il uniquement de renforcer la protection des données de ses clients ?

Encore une fois, il n'y a pas de « verrouillage » des utilisateurs sur la plate-forme Apple pour l'utilisation de la technologie, puisqu'elle est entièrement interopérable. La seule différence, mais elle est là en permanence et pour tous les types d'utilisation, c'est le plaisir et l’intuitivité dans l'utilisation de l'interface. 

Il faut également constamment garder à l'esprit que la sécurité est vraiment le cœur du réacteur dans le modèle économique d’ Apple, et ce depuis le début même de la société. Et cela n'a fait que croître depuis le lancement de Mac OS X en 2000, qui est également le socle de toutes les déclinaisons de la plateforme : le Mac, l'iPhone, l'iPad, l'Apple Watch et l'Apple TV, comme ce sera également le cas pour les lunettes et le casque à réalité virtuelle/augmentée. 

D’ailleurs, Microsoft et Google qui sont partenaires de l’alliance FIDO et qui sont également éditeurs de systèmes d’exploitation majeurs avec Androïd, Windows ou ChromOS, ne devraient pas tarder à proposer leurs propres solutions en ce sens.