Apple prépare iCloud à un futur sans mots de passe


Les mots de passe, qui posent tant de problèmes de sécurité et de gestion, vivent peut-être leurs dernières heures. Le W3C et la FIDO Alliance préparent depuis plusieurs années une technologie qui permettrait de se débarrasser du traditionnel échange d'identifiants entre un utilisateur et un serveur distant : WebAuthn, qui repose sur un système de cryptographie asymétrique avec un échange de clés publiques. Nous en parlions déjà il y a trois ans : avec cette technologie, il serait possible de s'inscrire et de s'identifier sur un site web avec Touch ID ou Face ID, sans jamais avoir à définir de mot de passe. Ce serait une révolution en terme de sécurité, tout en apportant un plus grand confort d'utilisation.


Passkeys in iCloud keychain

À l'occasion de la WWDC, Apple a déclaré son intention d'adopter le standard Web Authentication et a mis en place les briques logicielles au sein d'iOS 15 et de macOS Monterey pour que les développeurs puissent commencer à plancher sur le sujet. Dans une vidéo très didactique, Apple présente tous les détails de la technologie et annonce qu'iCloud va prendre en charge le stockage et le partage des clés privées de WebAuthn entre les différents appareils Apple d'un même utilisateur. Il sera ainsi possible, une fois s'être inscrit sur un site web ou une application avec un iPhone, de pouvoir accéder à ce service sans mot de passe depuis un iPad ou un Mac relié au même identifiant Apple.


Passkeys in iCloud keychain

L'adoption future de WebAuthn par Apple est une excellente nouvelle, à la fois pour les utilisateurs et les différents services qui n'auront plus à stocker des mots de passe, avec les problématiques de sécurité que cela entraîne. Cette implémentation de test n'est qu'un début et Apple est bien consciente de sa principale faiblesse : son fonctionnement limité aux appareils de sa propre marque. C'est une problématique sur laquelle l'ensemble de l'industrie est en train de travailler.
Des liens n'apparaissent pas ? Des images sont manquantes ? Votre bloqueur de pub vous joue des tours. Pour visualiser tout notre contenu, merci de désactiver votre bloqueur de pub !

Partager

Sur le même sujet

Vos réactions (6)

Mout

11 juin 2021 à 09:45

identifier une machine, ok, pourquoi pas mettre en place des systemes beaucoup plus fiables à la portée de la puissance de calcul de nos ordinateurs.
Mais la machine n'est qu'un outil, et a la base, c'est encore un humain qui utilise sont outil, et qui est donc responsable des actions réalisées. Identifier un humain sans mot de passe, ca me pose un petit cas de conscience.

Ou alors j'ai pas compris le fonctionnement, ni en quoi ca préserve la sureté de l'information et l'authentification de l'utilisateur

Sylvain

11 juin 2021 à 10:01

"Ou alors j'ai pas compris le fonctionnement" Oui voilà.

Ce n'est pas la machine qui est identifiée, c'est un échange de clés avec une clé privée qui est stockée sur la machine (il y a le lien Wikipédia qui va bien dans l'article pour comprendre précisément comment ça marche, sinon Apple l'explique bien aussi). Côté serveur, vu qu'il n'y a qu'une clé publique de stockée en cas d'intrusion les données ne valent rien.

LoTsey

11 juin 2021 à 10:57

Et on peut imaginer qu’il faille tout de même une identification biométrique (touchID, FaceID).

En tous cas si c’est “juste” comme les clés SSH c’est vrai que c’est pas très rassurant car n’importe qui avec l’accès à la machine pourra tout faire.

Mais bon je me dit qu’ils ne sont pas cons hein, ils vont forcément penser à ce genre de choses. Du coup je pense que ça sera plus comme une sorte de 1password (à la différence que l’on aura plus à générer les mots de passes). Que j’utilise avec bonheur au quotidien.

DKSnake

11 juin 2021 à 13:32

"iCloud va prendre en charge le stockage et le partage des clés privées de WebAuthn entre les différents appareils Apple d'un même utilisateur" -> Ah ben voilà la porte dérobée pour la NSA...

Adavo

11 juin 2021 à 14:01

La clé SSH sur ton Mac ou iPhone sera chiffré et sans ton mot de passe de session il ne pourra être déchiffré. Après si tu te fait voler ton mac et que ton mot de passe est faible c’est le risque. La société s’oriente de tt façon vers les identifications biométriques et ce sera catch-up plus difficile à un voleur d’avoir a la fois le device mais aussi ton empreinte pour obtenir la clef privé et accéder à ton compte sur les sites VS un mot de passe classique.

Paul

11 juin 2021 à 19:20

On va nous couper les doigts et nous arracher les yeux

Réagir
Vous devez être connecté à notre forum pour pouvoir poster un commentaire.

Plus loin Connexion
Plus loin Inscription