Glossaire relatif à la confidentialité
Clé d’accès
Qu’est-ce qu’une clé d’accès ?
Une clé d’accès est un code secret unique qui vous donne un accès sécurisé à un système ou à un service en ligne. Chaque clé d’accès est spécifique à l’utilisateur et au service; les clés d’accès ne peuvent pas être réutilisées pour plusieurs connexions. Une fois qu’une clé d’accès est configurée, l’utilisateur ou le service peut ajouter un second facteur d’authentification, comme une empreinte digitale, la reconnaissance faciale ou un code PIN, pour renforcer la sécurité de la connexion.
Se connecter avec une clé d’accès est une expérience similaire à déverrouiller un téléphone portable. Une fois configurées, les clés d’accès sont plus faciles à utiliser et plus sécurisées que les mots de passe seuls ou même les mots de passe couplés avec une authentification secondaire ou une authentification multifacteur. Les partisans des clés d’accès croient que celles-ci pourraient éventuellement remplacer les mots de passe.
Comment fonctionnent les clés d’accès ?
Tout comme le processus familier de création d’un compte avec un identifiant utilisateur et un mot de passe, l’utilisation d’une clé d’accès implique un processus de configuration initial, suivi d’un processus de connexion plus simple. Une différence clé entre les clés d’accès et les mots de passe est que, par défaut, les clés d’accès reposent principalement sur un facteur d’authentification « avoir » (comme une application sur votre téléphone portable) au lieu d’un facteur « connaître » (comme un mot de passe).
Le processus de configuration lie votre appareil au service en ligne particulier (comme le site Web de votre banque). Un service peut également exiger un élément unique pour un second facteur d’authentification lors de la configuration de la clé d’accès (souvent quelque chose de « local » ou fourni directement sur votre appareil). Des exemples de ces éléments uniques sont une empreinte digitale, la reconnaissance faciale ou un code PIN qui sont stockés sur votre appareil avant de générer une clé aléatoire. Ces clés sont permanentes et secrètes. Elles sont également spécifiques à votre appareil, au service particulier auquel vous accédez et à votre compte sur ce service. La clé d’accès « publique » est donnée au service ; la clé d’accès « privée » reste sur votre appareil et personne d’autre ne peut y accéder, même le service appairé.
Une fois les clés d’accès configurées, la connexion est simple, il vous suffit de sélectionner l’option « Se connecter avec une clé d’accès » (si votre service la propose). Si le service l’exige, vous devrez également fournir votre second facteur préalablement choisi (empreinte digitale, reconnaissance faciale ou code PIN). Vous n’avez pas besoin d’entrer un nom d’utilisateur. Le navigateur (ou l’application) contacte le service et demande l’accès à votre compte. Le service répond au navigateur avec un message à signer (appelé un défi), accompagné de la clé d’accès publique associée à votre compte (que le navigateur utilisera lors de la réponse au défi). Votre appareil vous vérifie localement à l’aide de votre élément unique (si requis) et utilise la clé d’accès privée pour signer le défi. Le message signé est ensuite renvoyé au service, prouvant que vous êtes le propriétaire du compte valide.
Clés d’accès et plusieurs appareils
Bien que les clés d’accès puissent être spécifiques à chaque appareil, une seule clé d’accès peut être synchronisée sur plusieurs appareils si ceux-ci fonctionnent dans le même environnement (comme Google/Android ou Apple/iOS). Il existe également d’autres méthodes de synchronisation interopérable en développement, comme l’utilisation d’un gestionnaire de mots de passe ou d’un navigateur pour synchroniser en toute sécurité les clés d’accès. Une clé d’accès sur un téléphone peut également être utilisée pour déverrouiller un site Web que vous visitez sur un ordinateur. Si le téléphone et l’ordinateur sont proches l’un de l’autre, ils peuvent utiliser le Bluetooth pour communiquer ; vous complétez la connexion à l’aide de la clé d’accès sur votre téléphone et le téléphone valide ensuite la connexion sur l’ordinateur par Bluetooth.
Clés d’accès et plusieurs utilisateurs
Avec les clés d’accès, vous pouvez également configurer plusieurs comptes pour un service donné sur le même appareil. Cela peut être utile si, par exemple, deux personnes utilisent le même ordinateur pour se connecter à différents comptes bancaires sur le même site de banque en ligne. L’écran de connexion de la banque vous permettra d’utiliser la clé d’accès pour un utilisateur spécifique avec des options comme « Se connecter avec la clé d’accès pour Anna » ou « Se connecter avec la clé d’accès pour Kevin » Lorsque vous sélectionnez l’utilisateur, le navigateur se chargera de trouver et d’appliquer la clé d’accès appropriée lors de l’interaction avec le service bancaire.
Les clés d’accès sont-elles la même chose que l’authentification multifacteur ?
Traditionnellement, l’authentification multifacteur (MFA) est une méthode pour renforcer l’approche traditionnelle d’ID utilisateur et de mot de passe pour la vérification des utilisateurs. L’authentification multifacteur renforce le mot de passe traditionnel en exigeant une preuve supplémentaire (facteurs) d’identité, comme une empreinte digitale ou un code envoyé sur votre téléphone. L’authentification multifacteur repose toujours par défaut sur les mots de passe, tandis que les clés d’accès reposent sur la possession de clés de signature numérique.
Bien que les clés d’accès fonctionnent différemment des schémas d’authentification multifacteur traditionnels, elles répondent aux mêmes critères en utilisant au moins deux types différents d’identification parmi les catégories savoir, avoir et être. Utiliser un code PIN sur votre téléphone avec la clé d’accès satisfait la combinaison « savoir » (PIN) et « avoir » (téléphone). Associer une analyse faciale sur un ordinateur portable avec la clé d’accès répond à la combinaison « être » (empreinte digitale) et « avoir » (ordinateur portable). Exiger deux catégories de facteurs protège vos comptes contre le piratage. Quelqu’un peut posséder votre téléphone, mais il ne peut pas imiter votre empreinte digitale. Sans l’empreinte digitale, le téléphone ne peut pas utiliser la clé d’accès privée stockée pour signer le défi du service.
Ai-je besoin d’un logiciel spécial pour utiliser les clés d’accès ?
La programmation pour les clés d’accès est intégrée dans le navigateur (ou l’application) et le système d’exploitation. Tous les principaux navigateurs prennent en charge la création et l’utilisation des clés d’accès. Si une organisation souhaite offrir des clés d’accès comme option de connexion, elle les intégrera à leur site ou application. Vous n’avez rien à faire de plus.
Pourquoi les clés d’accès sont-elles meilleures que les mots de passe ?
Lorsque vous vous connectez à un site ou à un réseau, vous devez prouver que vous êtes la personne que vous prétendez être. Aujourd’hui, les mots de passe sont la preuve la plus courante que nous utilisons pour nous vérifier. Parfois, un mot de passe est complété par une deuxième couche d’authentification : une empreinte digitale, un code unique envoyé par SMS à notre téléphone ou un code provenant d’une application d’authentification. Même si les mots de passe étaient une méthode suffisante d’accès sécurisé pendant de nombreuses années, le piratage de plus en plus sophistiqué et les menaces liées à l’ingénierie sociale ont affaibli la configuration traditionnelle de l’identifiant utilisateur et du mot de passe. Les clés d’accès sont conçues pour lutter contre les menaces qui compromettent les mots de passe en automatisant la sécurité pour les utilisateurs.
Plus sécurisé
Les mots de passe doivent rester secrets pour être efficaces, mais ils sont souvent exposés lors d’une violation de données. De bonnes habitudes de sécurité, comme l’utilisation de mots de passe forts et uniques pour chaque service, sont une excellente défense, mais avec autant de mots de passe nécessaires, un individu finit souvent par réutiliser un mot de passe ou par utiliser des mots de passe faibles, facilement crackés ou devinés.
Avec les clés d’accès, ces défenses de sécurité n’exigent plus des utilisateurs qu’ils soient aussi impliqués pour maintenir la sécurité de leurs comptes. De plus, étant donné que les clés cryptographiques ne sont stockées que sur votre appareil, les clés d’accès réduisent la faisabilité des attaques dites de « password spraying » qui peuvent se produire après une fuite massive de mots de passe. Les clés d’accès sont également fortes par défaut, ce qui permet d’éviter le scénario d’un attaquant devinant un mot de passe.
Avec les clés d’accès, rien de privé n’est jamais transmis au service. La seule chose stockée en dehors de vos appareils est la clé publique, et la seule chose transmise aux services est le message de vérification et la réponse. Les menaces qui tenteraient d’intercepter vos identifiants de connexion ne peuvent pas collecter de données de valeur.
Un avantage supplémentaire pour votre sécurité en ligne est que les clés d’accès peuvent protéger contre les faux sites utilisés dans les attaques de hameçonnage. La vérification des clés d’accès se fait dans les deux sens. Si vous arrivez accidentellement sur un site d’hameçonnage, le faux site n’aura pas la clé publique qui complète votre clé privée. Cela signifie que les étapes de vérification du défi ne fonctionneront pas car votre navigateur peut détecter que le site est incorrect.
Plus facile à utiliser
Les mots de passe peuvent être difficiles à gérer. Se connecter avec un mot de passe peut être frustrant et chronophage, surtout lorsqu’il est complété par un autre facteur comme un code unique envoyé par SMS.
Une clé d’accès utilise simplement les données biométriques choisies ou un code PIN pour vérifier votre identité. Après avoir fourni ce seul facteur, le navigateur ou l’application fait le reste, en interagissant avec le site web en votre nom pour compléter le processus de la clé d’accès. Le maximum que vous aurez à retenir est un code PIN, et ce code PIN peut être le même que celui qui déverrouille votre appareil. En effet, un attaquant aura besoin de votre appareil pour que celui-ci lui soit utile.
Qui utilise les clés d’accès ?
La technologie des clés d’accès en est encore à ses débuts d’adoption. Selon la FIDO Alliance, le groupe à la tête du développement de la technologie des clés d’accès, plus de 100 grands services Web prennent en charge les clés d’accès. Cela va des réseaux sociaux aux grandes banques en passant par les commerces populaires et le gaming. Bien que ces chiffres ne soient peut-être pas considérés comme élevés, on s’attend à ce que les clés d’accès continuent à étendre leur disponibilité maintenant que de nombreux problèmes d’utilisabilité ont été résolus. Il est probable que vous rencontriez bientôt l’option d’utiliser des clés d’accès lors d’une connexion, si ce n’est pas déjà le cas.
