La portabilité, au cœur des doutes sur les passkeys

Clément Bohic,
Linkedin
passkeys doutes portabilité

Présentées comme un « remède » aux mots de passe, les passkeys émergent doucement… et suscitent leur lot d’inquiétudes.

« Donnez-m’en une version qui fonctionne sur mes ordinateurs Linux et mon téléphone Android avec ROM custom. […] Qui permet de se connecter sur une machine où le Bluetooth n’est pas activé. Qui n’exige pas de mettre à jour manuellement de multiples clés pour chaque login […] »

Ce commentaire synthétise quelques-unes des inquiétudes actuelles au sujet des passkeys, une forme de certificat électronique qu’on présente comme un « remède » aux mots de passe.

L’auteur du commentaire est un certain Daniel Shumway, développeur américain. Il l’a publié sur le forum Hacker News, dans le cadre d’une discussion consécutive à une annonce de Teleport. L’entreprise était revenue sur la prise en charge des passkeys au sein de sa plate-forme de gestion d’infrastructure.

Le backup n’est pas la portabilité

L’intéressé avait déjà émis une opinion de la même teneur en réaction à une communication de 1Password. Le gestionnaire de mots de passe a effectivement engagé des travaux pour assurer lui aussi la prise en charge des passkeys.

Dans un cas comme dans l’autre, la discussion s’est vite orientée sur les limites de cette solution. Avec un gros point noir : la portabilité.

En l’état, adopter les passkeys, c’est accepter de confier ses clés à un fournisseur (Apple, Google et Microsoft première ligne)… et donc de s’exposer aux conséquences d’une compromission ou d’une suspension de compte. D’autant plus problématique qu’il n’existe pas, pour le moment, de véritable solution de migration entre écosystèmes.

Il existe encore moins un standard. L’alliance FIDO, artisane des passkeys, ne semble d’ailleurs pas s’engager sur cette voie. Aux dernières nouvelles, elle recommande simplement d’en définir sur chacun de ces écosystèmes – ce qui s’apparente plutôt du backup. Charge ensuite à ces derniers d’implémenter éventuellement une forme de portabilité.

Passkeys : la clé dans le hardware ?

On peut penser que le risque de lock-in diminuera à mesure que le nombre de fournisseurs de passkeys augmentera. Encore faudrait-il que ces derniers mettent effectivement en place une interopérabilité. 1Password, par exemple, n’a pas clairement manifesté son intention d’intégrer un mécanisme d’exportation. Il semblerait même considérer que la disponibilité multiplateforme de son gestionnaire de mots de passe est suffisante. Ce qui fait suggérer à certains l’idée de « forcer » l’émergence d’un standard comme l’UE l’a fait avec le connecteur USB-C.

Dans tous les cas, il faudra assurer la sécurité des transferts. En particulier, la résistance au phishing. La question ne se posait pas aussi nettement à l’origine, mais Apple et Google ont fini par ouvrir la porte en instaurant une première forme de portabilité, au sein de leurs écosystèmes respectifs (le premier permettant même de partager des passkeys via AirDrop).

Avec l’initiative de 1Password (mais aussi, entre autres de Dashlane) se pose une autre question : celle du stockage et du traitement des passkeys au niveau logiciel. L’enjeu, dans les grandes lignes : est-ce aussi sûr que des implémentations basées sur du hardware type clé physique ou TPM ? Dans cet esprit, faudrait-il développer des API qui permettraient à 1Password et consorts d’exploiter ce genre de matériel ?

À consulter pour davantage de contexte :

Les passkeys, vulnérables comme le MFA ?
Cybersécurité : la check-list de l’ANSSI
Failles dans les gestionnaires de mots de passe
Le pentester, visage des métiers de la cyber ?

Photo d’illustration © Tiko – Adobe Stock