En 2023, on va chercher à se débarrasser de nos mots de passe, trop faillibles. Mais que vont devenir nos gestionnaires de mots de passe ?
Google, Apple, Microsoft… Les géants s’activent pour préparer un futur où le mot de passe ne sera qu’un mauvais souvenir d’un temps ancien où Internet était beaucoup trop complexe. Mais d’autres acteurs ont leur place à se faire : les gestionnaires de mots de passe qui, ironiquement, pourraient être la solution à certains problèmes rencontrés actuellement dans la gestion de l’authentification passwordless.
2023, le raz-de-marée passwordless ?
L’authentification sans mot de passe a le potentiel de continuer à se développer en 2023. En tout cas, les géants de la tech, Microsoft, Google et Apple en tête, au sein de l’Alliance FIDO, font tout pour que l’adoption arrive le plus vite possible. Pour résumer rapidement ce que nous avions déjà expliqué précédemment, l’authentification sans mots de passe, ou passwordless, a, comme son nom l’indique, pour but de permettre de se connecter à des sites et services sans mots de passe.
Chaque fois que vous souhaitez vous inscrire sur un service qui supporte la technologie, une paire de clés est créée. Le service obtient votre clé publique et la deuxième clé, la clé privée, est stockée sur votre appareil. Lorsque vous souhaitez vous connecter au service par la suite, il vous suffit de déverrouiller votre appareil comme vous le faites habituellement, avec votre code PIN ou autre, et le processus d’authentification est lancé entre votre appareil et le site.
À la sortie d’iOS 16, en septembre 2022, Apple avait dévoilé l’arrivée des passkeys dans son trousseau iCloud. Peu de temps après, Google a suivi et a annoncé que les utilisateurs pourraient enregistrer des clés d’accès sur Android et les synchroniser avec l’ensemble des appareils Android qu’ils possèdent grâce au Google Password Manager, à condition donc d’être connecté au même compte Google sur chacun d’entre eux.
Et si, par exemple, vous aviez besoin de vous connecter à un service sur votre ordinateur, vous avez la possibilité de scanner un QR code ou de valider la présence de votre téléphone grâce au Bluetooth.
Une technologie prometteuse, mais pas sans défaut
Et on commence à toucher ici au cœur du problème actuel : les clés étant liées à un appareil, et donc à un écosystème en particulier, la présence de l’appareil sur lequel elles sont sauvegardées est absolument nécessaire. Vous ne pouvez pas accéder facilement à vos différentes clés stockées sur votre iPhone à partir de votre ordinateur Windows, par exemple. Il est nécessaire, pour chacune d’entre elles, de scanner avec votre téléphone un QR code affiché sur l’écran de votre ordinateur pour valider la connexion. Généralement, et si possible, le service propose par la suite de créer une nouvelle passkey pour l’ordinateur, afin de pouvoir se passer de la validation par téléphone par la suite.
Si vous souhaitez changer de téléphone et que vous passez d’un Android à un autre Android ou d’un iPhone à un autre iPhone, pas de problème, tout est enregistré dans le cloud et récupérable sur le nouvel appareil. Mais si vous souhaitez passer d’un écosystème à un autre ou, pire, si vous perdez votre unique appareil Android et que vous souhaitez passer à un iPhone par exemple, pour le moment, il n’existe pas vraiment de procédure pour récupérer ses passkeys.
Google a indiqué au New York Times travailler sur le sujet des transferts avec l’Alliance FIDO, déclarant que « c’est une priorité pour nous, donc nous explorons quelques options qui permettent la portabilité », le risque étant que si le transfert entre appareils est possible, des hackers puissent s’emparer des passkeys.
Mais une solution avait été déjà évoquée par Google et Microsoft auprès du journal Le Monde : les gestionnaires de mots de passe. Et en ce début d’année 2023, une partie d’entre eux se positionnent effectivement sur le sujet.
Les gestionnaires de mots de passe, la solution paradoxale ?
Après tout, les gestionnaires de mots de passe avaient déjà apporté une solution au problème du mot de passe. Quand il est nécessaire de créer des mots de passe uniques et complexes pour chacun des sites auxquels on se connecte, avoir un logiciel qui les crée automatiquement pour nous et les retient sans que l’on ait besoin d’exercer intensément notre mémoire est bien pratique.
Mais, pour les passkeys, leur rôle serait tout autre. S’il n’y a pas besoin de les retenir, le problème actuel des clés d’accès est leur utilisation sur plusieurs appareils qui ne font pas partie du même écosystème. Et si la solution était non pas de les lier à un appareil en particulier mais à un logiciel ? Les gestionnaires de mots de passe permettent déjà d’accéder à nos mots de passe aussi bien dans notre navigateur que sur notre téléphone, sans problème de compatibilité et en les synchronisant automatiquement entre tous nos appareils dès qu’une modification est faite sur l’un d’entre eux.
Ce n’est pas demain que l’on se débarrassera de nos mots de passe.
En enregistrant nos clés dans nos gestionnaires, on pourrait ainsi y accéder très facilement, sans avoir à créer une paire pour notre ordinateur et une paire sur notre téléphone pour accéder au même site. Le partage des passkeys pourra également être plus simple : il ne sera plus nécessaire d’utiliser le même système d’exploitation, juste le même gestionnaire.
Et, même si de nombreuses avancées en la matière sont en cours, ce n’est pas demain que l’on se débarrassera de nos mots de passe. Peu de sites et de services permettent pour le moment l’authentification sans mots de passe et il est probable qu’ils continueront de cohabiter avec les clés d’accès durant un bon moment, même lorsque l’adoption du passwordless sera plus importante.
Les gestionnaires vont donc continuer à être utiles et, en permettant le plus vite possible d’enregistrer à la fois des mots de passe et des passkeys dans le même logiciel, s’assurent un avenir. Et en ce début d’année 2023, plusieurs d’entre eux ont déjà fait des annonces en ce sens.
Les gestionnaires de mots de passe se préparent
La prise en charge des passkeys
Première étape pour les gestionnaires de mots de passe, la prise en charge des passkeys dans leurs logiciels. Dashlane a été l’un des premiers à faire un pas dans ce sens, en devenant membre de l’Alliance FIDO et en ajoutant la possibilité d’enregistrer et d’utiliser des clés d’accès à partir de son extension de navigateur. Pour le moment, la technologie est encore jeune et Dashlane conseille surtout de l’utiliser pour l’authentification à double facteurs, aux côtés d’un mot de passe classique. Elle n’est pas encore disponible dans les applications mobiles du gestionnaire, mais l’entreprise espère que cela sera bientôt le cas.
D’autres ont vite suivi. 1Password est devenu membre du conseil d’administration de l’Alliance FIDO et en a profité pour annoncer que la prise en charge des passkeys arriverait début 2023. NordPass vise la même période pour l’introduction du stockage des clés d’accès et la possibilité de se connecter au gestionnaire sans avoir à entrer son mot de passe maître.
Bitwarden, autre gestionnaire de mots de passe populaire, permet déjà de se connecter à toutes les versions de son gestionnaire sans mot de passe maître et a indiqué que la prise en charge des passkeys serait effective dans le courant de l’année 2023. Sans dresser un inventaire exhaustif de l’ensemble des annonces de tous les gestionnaires, on peut voir à travers ces exemples de logiciels de gestion populaires qu’une tendance se dessine bien pour 2023.
Des investissements dans le passwordless
Mais certains de ces gestionnaires ont décidé d’aller un peu plus loin. En novembre 2022, 1Password s’est offert Passage, une entreprise qui cherche à aider non pas les utilisateurs, mais les développeurs, à adopter le passwordless. Là où les grandes entreprises et gestionnaires s’activent pour permettre la création et le stockage des passkeys, Passage cherche à rendre l’intégration d’une authentification sans mots de passe plus simple pour les développeurs de sites et d’applications, que ce soit dans leurs nouveaux projets ou lorsqu’ils mettent à jour des sites existants.
Bitwarden a suivi en début d’année en annonçant son acquisition de Passwordless.dev, une startup fondée en 2020 qui, comme Passage, crée des API pour aider les développeurs et entreprises à ajouter des options de connexion sans mots de passe à leurs projets, sans qu’ils aient à développer leur propre solution.
La plus grosse barrière à l’adoption massive du passwordless reste sa compatibilité avec les différents sites web.
Car oui, pour le moment, la plus grosse barrière à l’adoption massive du passwordless reste sa compatibilité avec les différents sites web. Il ne suffit pas d’avoir un appareil qui permet de stocker et créer des clés, il faut que le service auquel on cherche à s’inscrire accepte ce nouveau type de connexion. Et ils sont pour le moment rares. Une situation à laquelle ces gestionnaires cherchent à remédier avec ces acquisitions. Plus que de simples alternatives pour le stockage des passkeys, ces logiciels de gestion veulent avoir voix au chapitre en ce qui concerne le futur du sésame et cherchent à s’imposer comme des acteurs importants des deux côtés de la barrière, aussi bien pour les utilisateurs que pour les développeurs qui doivent adopter la technologie sur leurs produits.
Une solution qui ne répond pas à tous les problèmes
Pour le moment, les débuts sont donc prometteurs, mais balbutiants. Et si confier la gestion des passkeys aux gestionnaires de mots de passe permet de répondre à un problème, il en introduit d’autres. Par exemple, il sera donc plus simple de passer d’un iPhone à un Android et vice-versa en conservant ses passkeys, puisqu’il suffira de télécharger l’application de son gestionnaire et de se connecter à son compte pour les retrouver.
On peut aujourd’hui le vérifier : en installant l’extension de navigateur d’un gestionnaire qui prend en charge la technologie sur deux navigateurs différents, on retrouve bien ses clés sur les deux. Mais, en l’absence d’une véritable solution de portabilité comme il en existe aujourd’hui pour les mots de passe, nous pouvons donc nous demander si l’on ne déplace pas juste le problème : au lieu d’être enfermé dans un écosystème, nous prenons le risque de devenir dépendant d’un gestionnaire de mots de passe en particulier. Une situation que cherche à éviter 1Password, qui a indiqué travailler sur une solution pour permettre de changer facilement de gestionnaire de mots de passe tout en conservant ses clés existantes.
Et même si nous faisons actuellement assez confiance aux gestionnaires de mots de passe pour conserver nos données de façon sécurisée, un risque est toujours présent, comme les péripéties de LastPass nous l’ont montré. Un risque qui, de toute façon, ne peut pas être nul et que l’on doit accepter, mais qui nécessitera un peu plus de transparence de la part de certains acteurs.
