Les cybercriminels se perfectionnent chaque jour. Pendant ce temps, trop de personnes protègent encore leurs comptes avec « Password123 ».
La sécurité des comptes utilisateur est l’un des principaux domaines d’activité des cybercriminels, et elle repose le plus souvent sur une combinaison nom d’utilisateur/mot de passe. Ajoutez à cela des utilisateurs mal informés, et les acteurs malveillants ont la tâche beaucoup plus facile.
Mots de passe faciles.
Mots de passe réutilisés.
Aucune authentification multifacteur.
Chacun de ces éléments contribue au problème.
Heureusement, un nouvel outil de sécurité gagne en popularité : les clés d’accès. Les clés d’accès remplacent les mots de passe et utilisent l’authentification biométrique, comme la lecture d’empreinte digitale ou la reconnaissance faciale, pour mieux protéger les données sensibles grâce à un processus de vérification utilisateur plus sûr.
Que sont les clés d’accès ?
Les clés d’accès sont une méthode cryptographique sécurisée permettant d’authentifier les utilisateurs sans mot de passe, offrant une meilleure sécurité en ligne, une meilleure protection et une plus grande simplicité d’utilisation. Une fois configurées, les clés d’accès sont plus faciles à utiliser que les mots de passe et infiniment plus sûres, car leur robustesse ne dépend pas de l’utilisateur.
De plus en plus de sites web adoptent cette technologie sans mot de passe, notamment de nombreuses grandes entreprises technologiques comme Google, Amazon, Apple et Microsoft.
En savoir plus sur les clés d’accès dans ce blog détaillé :
Les clés d’accès sont une forme d’authentification sans mot de passe qui remplace les mots de passe traditionnels. Elles peuvent être utilisées sur la plupart des systèmes d’exploitation au sein d’un gestionnaire de mots de passe et s’appuient sur la cryptographie à clé publique, en développement depuis plus de 10 ans. L’Alliance FIDO a été fondée en 2013 pour accompagner et faire progresser cette technologie, garantir des normes ouvertes et universelles, et bénéficie du soutien d’une longue liste de membres et de sponsors, dont Bitwarden. Les clés d’accès s’appuient sur les protocoles cryptographiques WebAuthn développés par l’alliance, considérés comme la référence en matière d’authentification sécurisée.
Fondamentalement, les clés d’accès sont conçues pour remplacer les mots de passe et sont assez simples grâce à la cryptographie à clé publique.
Lorsqu’un utilisateur crée un nouveau compte sur un site web ou une application (qui prend en charge les clés d’accès), il lui sera demandé de créer une clé d’accès. Lorsque l’invite s’affiche, il suffit de scanner le code QR fourni avec un téléphone pour créer automatiquement la clé d’accès.
Cette clé d’accès se compose de deux clés : une clé publique et une clé privée. La clé publique est stockée sur le serveur, et la clé privée est stockée sur l’appareil de l’utilisateur. Une fois la clé d’accès créée, l’utilisateur sera invité à l’utiliser pour accéder à ce site. Il ne reste plus qu’à utiliser les données biométriques par empreinte digitale ou reconnaissance faciale sur un téléphone pour se connecter.
Pour se connecter à un site web compatible avec les clés d’accès, le site envoie un défi de connexion — un très grand nombre aléatoire — et la clé secrète de l’utilisateur utilise la cryptographie pour « signer » ce défi en y répondant. Le site web vérifie la signature à l’aide de sa clé publique afin d’en confirmer l’authenticité. Une fois celle-ci confirmée, le site web peut accorder l’accès au compte.
Comme chaque clé d’accès est une paire de deux clés cryptographiques asymétriques liées, qui sont de très longues chaînes de caractères aléatoires, le processus d’authentification est nettement plus sécurisé. Bien que ces deux clés soient différentes, elles entretiennent une relation particulière : l’une peut déchiffrer des messages (la clé privée sur l’appareil de l’utilisateur, prise en charge par la plupart des systèmes d’exploitation) qui ont été chiffrés par l’autre (la clé publique sur le serveur). Cette paire de clés sert à vérifier et authentifier l’utilisateur.
Contrairement aux mots de passe, la paire de clés se compose d’une clé privée, conservée en toute sécurité sur l’appareil ou dans un gestionnaire de mots de passe prenant en charge les clés d’accès (également appelé fournisseur de clés d’accès), et d’une clé publique, stockée sur le site web auquel l’utilisateur se connecte. L’un des points les plus importants à propos de ces paires de clés est que la clé privée est sécurisée et ne quitte jamais les systèmes d’exploitation sur lesquels elle est stockée, tandis que le gestionnaire de mots de passe la garde verrouillée grâce à la biométrie, à un code PIN ou à un mot de passe. La clé publique, en revanche, pourrait être partagée avec le monde entier, par exemple en cas de violation de données d’un site web, sans compromettre la sécurité tant que la clé privée reste protégée.
Voici une analogie courante pour mieux comprendre les paires de clés asymétriques. L’infographie ci-dessous explique les étapes d’utilisation d’une clé d’accès et de sa paire de clés pour vérifier l’authenticité d’un utilisateur lorsqu’il se connecte à un site web.
Grâce à la paire de clés publique-privée, les clés d’accès sont bien mieux armées pour prévenir les attaques de phishing et mieux garantir la confidentialité des utilisateurs.
Les clés d’accès dans Bitwarden
Gestionnaire de mots de passe Bitwarden permet de créer et de stocker des clés d’accès, ce qui facilite leur gestion.
Lancez-vous dès aujourd’hui avec un compte gratuit ou partagez-le avec votre équipe en démarrant un essai professionnel gratuit.
Pour les développeurs, Bitwarden Passwordless.dev fournit des frameworks d’API pour vous aider à créer des identifiants FIDO détectables, tels que des clés d’accès.
Comment fonctionnent les clés d’accès ?