Les passkeys ont toujours des problèmes

 (fy.blackhats.net.au)
7 points par GN⁺ 2025-12-19 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • En 2025, les passkeys continuent de soulever des débats sur la sécurité et la praticité, tout en conservant des problèmes d’expérience utilisateur et de dépendance aux fournisseurs
  • Le nouveau FIDO Credential Exchange permet désormais la portabilité entre fournisseurs, mais les frictions entre plateformes et la fragmentation persistent
  • Les risques de perte sans sauvegarde et de verrouillage liés aux gestionnaires de plateforme comme Apple, Google et Microsoft demeurent, et la conception des interfaces est critiquée pour limiter le choix des utilisateurs
  • La complexité du concept de passkey et la communication trompeuse de certains services nuisent à la confiance des utilisateurs grand public
  • Pour protéger les comptes critiques, il est important d’utiliser un Credential Manager contrôlable par l’utilisateur ainsi que des clés matérielles comme Yubikey

Résumé TL;DR

  • Les passkeys présentent toujours des défauts, et les utilisateurs doivent les comprendre pour les utiliser selon leurs propres contraintes
    • Utiliser uniquement les Credential Managers fournis par les plateformes (Apple, Google, Microsoft) expose à des risques d’absence de sauvegarde et de verrouillage
    • Il est recommandé d’utiliser des Credential Managers sauvegardables comme Bitwarden ou Vaultwarden
    • Une synchronisation régulière vers un Credential Manager externe via FIDO Credential Exchange est nécessaire
    • Pour les comptes importants comme l’e-mail, il est conseillé d’utiliser Yubikey comme stockage de passkeys, tout en conservant un mot de passe fort + TOTP comme solution complémentaire
    • Il faut vérifier à l’avance les voies de récupération au cas où l’accès au Credential Manager deviendrait impossible

Ce qui a changé au cours de l’année écoulée

  • Le principal changement est l’introduction de la spécification FIDO Credential Exchange
    • Elle permet désormais la migration des identifiants entre fournisseurs de passkeys
  • Mais les frictions entre plateformes et la rupture de l’écosystème existent toujours
    • Les passkeys peuvent se fragmenter entre différents appareils, et les utilisateurs risquent de ne pas s’en rendre compte
    • Les passkeys des appareils Apple ne peuvent pas être synchronisées vers des appareils non Apple, alors que Google et Microsoft le permettent partiellement
    • Les utilisateurs Apple peuvent ressentir une dépendance plus forte

La complexité du concept de passkey

  • Un mot de passe se comprend intuitivement comme « quelque chose que je sais », et le SMS 2FA comme « quelque chose que je peux recevoir »
  • À l’inverse, la passkey est un facteur d’authentification invisible, que l’utilisateur ne peut ni vérifier directement ni imprimer
  • Il faut normalement passer par un processus de confiance envers le Credential Manager, mais les passkeys tendent à escamoter cette étape de confiance
  • Même des experts en sécurité confondent parfois le fonctionnement des passkeys, ce qui montre que la barrière à la compréhension reste élevée

Le problème du « thought leadership » et de l’éducation des utilisateurs

  • Certaines figures du secteur affirment que « devoir apprendre à gérer des mots de passe est un échec de l’industrie »,
    alors qu’en réalité les passkeys exigent elles aussi de comprendre le Credential Manager
  • Les utilisateurs qui préfèrent les mots de passe et le TOTP ne sont pas forcément arrogants ; cela peut relever de problèmes d’utilisabilité
  • Croire que les passkeys fonctionnent sans aucune éducation des utilisateurs est une vision déconnectée de la réalité
  • Si un utilisateur, après avoir bien compris le sujet, choisit malgré tout une autre méthode, alors la passkey a échoué pour cet utilisateur

Une dépendance aux fournisseurs toujours présente

  • Même avec FIDO Credential Exchange, les frictions du parcours réel et les interfaces qui orientent le choix augmentent le coût du changement
  • La fenêtre de création de passkey d’Apple pousse par défaut vers Apple Keychain,
    tandis que les autres options (clé de sécurité, Android, etc.) sont cachées sous « Other Options »
  • Le choix de l’utilisateur n’est pas mémorisé et revient systématiquement à la valeur par défaut
  • Google Chrome présente une structure similaire et encourage lui aussi à rester dans l’écosystème de la plateforme
  • Il ne s’agit pas seulement du lieu de stockage, mais d’une dépendance qui s’étend à toute l’expérience utilisateur

Perte de données dans les cloud keychains

  • Des cas persistent où des passkeys disparaissent de Apple Keychain, ou ne peuvent être ni créées ni utilisées sur des appareils Android
  • Dans certains cas, même une réinitialisation de l’appareil ne permet pas la récupération, ce qui bloque totalement l’accès au compte de l’utilisateur
  • Ces problèmes contribuent à une baisse de confiance dans les passkeys

Verrouillage de compte par le fournisseur

  • Dans certains cas de verrouillage de compte Apple, toutes les passkeys deviennent irrécupérables
  • Des cas similaires existent aussi chez Google et Microsoft
  • Une seule action sur un compte peut entraîner le risque de destruction de tous les identifiants

Communication trompeuse de certains services d’authentification

  • Certains services expliquent que « la passkey transmet des données faciales ou d’empreinte digitale »
  • En réalité, les données biométriques ne quittent pas l’appareil,
    mais les utilisateurs grand public peuvent comprendre cela comme « mon visage/mes empreintes sont envoyés sur Internet »
  • Ce type d’explication engendre méfiance et rejet à l’égard des passkeys
  • L’interface des fournisseurs de plateforme ne parvient pas non plus à corriger ces malentendus

Des services d’authentification qui limitent le choix des utilisateurs

  • Certains sites web continuent de n’autoriser qu’une seule passkey,
    ou imposent uniquement des passkeys dépendantes de la plateforme via l’option authenticatorAttachment
  • Cela bloque l’usage de clés de sécurité ou de Credential Managers non liés à la plateforme
  • Certains sites tentent même d’enregistrer automatiquement une passkey à la connexion sans consentement préalable, une pratique jugée non éthique

Conclusion et recommandations

  • La plupart des problèmes proviennent d’une structure de gestion des passkeys centrée sur les fournisseurs de plateforme
  • Les utilisateurs devraient recourir à un Credential Manager qu’ils contrôlent eux-mêmes afin de
    réduire les risques de verrouillage de compte et de perte de données, tout en effectuant des sauvegardes régulières
  • Yubikey (firmware 5.7 ou supérieur) peut stocker jusqu’à 150 passkeys
    • Pour certains comptes, il peut remplacer un Credential Manager logiciel
  • Le compte e-mail est au cœur des mécanismes de récupération ;
    il faut donc combiner clé matérielle + mot de passe fort + TOTP et conserver une sauvegarde hors ligne
  • Les plateformes comme Apple et Google devraient mémoriser les préférences des utilisateurs
    et présenter à égalité dans l’interface les clés de sécurité et les fournisseurs tiers
  • Les développeurs devraient éviter le préfiltrage du WebAuthn API
    et ne lancer l’enregistrement d’une passkey qu’après en avoir clairement informé l’utilisateur
  • Le principe clé est de garantir le contrôle utilisateur et le consentement

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.