Malgré le soutien des trois géants Apple, Google et Microsoft et de l’alliance FIDO, il reste du chemin pour supprimer les sésames classiques. Ces derniers sont encore très utilisés, en témoigne une étude de Delinea indiquant que 30 % des répondants seulement déclaraient avoir entamé la transition vers l'authentification sans mot de passe. Mais la majorité d'entre eux ne prévoyaient pas de commencer la transition avant au moins un an, voire trois ans pour une partie du panel.
Nul besoin de convaincre les entreprises et les particuliers des inconvénients à gérer la centaine de mots de passe en moyenne que chacun utilise au quotidien. Sans mentionner la difficulté à respecter les règles destinées à renforcer leur sécurité, comme la précaution de disposer d’un mot de passe unique et robuste pour chaque service. Au point qu’un éditeur tel Sosafe donne encore des conseils pour créer un mot de passe solide, une mesure qui n’est pas inutile, sachant qu’une enquête de Verizon montre que 86 % des violations de données proviennent d’un vol d’identifiants. De plus, la gestion des mots de passe a un coût non négligeable. Selon Forrester, chaque réinitialisation de mot de passe coûterait environ 65 €. Gartner précise les causes des surcoûts dans ce domaine, à savoir la perte de temps de 40 % suite à un appel à l’assistance informatique, la modification fréquente du sésame, etc.
Les passkeys sont appelés à la rescousse
Un passkey ou clé d’accès est une technologie d'authentification qui fait appel à la cryptographie à clé publique, une méthode classique et la clé de voûte pour assurer la sécurité des communications et les accès aux équipements protégés. Une clé d’accès permet aux utilisateurs de se connecter sans avoir à saisir de mot de passe. Pour cela, l’utilisateur d’un smartphone, le visiteur d’un site web, etc. doivent s'identifier à l'aide d'un code PIN, d'un analyse de flashcode ou de données biométriques tellesles empreintes digitales.
Andrew Shikiar, CEO de l’Alliance FIDO, décline les perspectives de l’usage des passkeys en 2025 et s’attend, d'ici à la fin de l’année, à ce qu’un quart des 1 000 principaux sites web mondiaux proposent des passkeys. Une prophétie autoréalisatrice ? Il est vrai que cette méthode est déjà utilisée par les très nombreux clients des acteurs majeurs que sont Amazon, Apple, eBay, Google, Microsoft, Shopify, TikTok et Uber.
Après les sites web d’information, ce sont les secteurs du tourisme qui, selon l’Alliance FIDO, devraient abandonner les mots de passe. D’autre part, l’Alliance espère que les grandes banques, voire le secteur de la finance vont franchir le Rubicon et commencer le déploiement des passkeys après avoir obtenu l’autorisation des gouvernements.
Les exigences règlementaires en matière de paiements, d’infrastructure critique et de services d’identité numérique devraient évoluer en intégrant les passkeys pour des transactions plus sécurisées. L’authentification des paiements qui passe aujourd’hui par une authentification multificateur par mail ou Sms, devrait progressivement se faire via les passkeys sous l’impulsion des acteurs clés du secteur Visa et Mastercard.
