Les clés USB : Sont-ils prêts à être utilisés par les entreprises ?

Les passkeys deviennent de plus en plus courants grâce à des services grand public tels que Google, Apple, Facebook, Meta, etc. L'utilisation de passkeys augmente considérablement la sécurité par rapport aux connexions traditionnelles basées sur des mots de passe.

Il est normal que certaines solutions grand public s'étendent à l'usage professionnel - pensez à la possibilité d'envoyer des réactions en emoji aux courriels. Mais ce n'est pas parce qu'Instagram me permet de me connecter à l'aide d'un mot de passe que les entreprises doivent en faire autant ?

En bref : les passkeys sont-ils prêts à être utilisés par les entreprises ?

Les Alliance FIDO a été fondée en 2013 par diverses entreprises afin de développer une norme d'authentification qui servirait de deuxième facteur ; aujourd'hui, FIDO peut servir de méthode d'authentification forte sans mot de passe.

Depuis 2013, FIDO est devenue l'une des méthodes de connexion sans mot de passe les plus populaires, en grande partie parce qu'elle respecte l'acronyme qui compose son nom : elle fournit une identité rapide en ligne. L'alliance FIDO est fortement axée sur l'environnement des consommateurs. Rien d'étonnant à cela, puisque ses membres les plus importants sont actifs dans ce domaine : Apple, Google, PayPal et Microsoft (RSA est membre de l'alliance FIDO et copréside son groupe de travail sur le déploiement des entreprises).

Les identifiants FIDO utilisent des paires de clés asymétriques pour s'authentifier auprès d'un service. Lorsqu'un justificatif FIDO est enregistré auprès d'un service, une nouvelle paire de clés est générée sur l'authentificateur FIDO et le service fait alors confiance à cette paire de clés, et à elle seule. La paire de clés est liée au nom de domaine exact du service.

Ce couplage strict entre un service et un identifiant FIDO est à l'origine d'un degré élevé de résistance au phishing : si un utilisateur tentait de se connecter à un faux site de phishing avec la clé créée pour le vrai site, il échouerait car le nom de domaine ne correspondrait pas à la paire de clés.

En 2022, Apple, Google et Microsoft ont lancé la prise en charge d'un nouveau type de justificatif FIDO, appelé passe-partout. En 2023, l'Alliance FIDO a adopté le terme "passe-partoutLe terme "passkeys" désigne tout type d'identifiant FIDO, ce qui peut prêter à confusion quant à la signification exacte du terme "passkeys" utilisé par une organisation.

Cette ambiguïté possible a été résolue par l'Alliance FIDO (voir ci-dessous), mais elle peut encore exister dans les entreprises. Il est important de lever cette ambiguïté, car tous les passkeys ne sont pas créés égaux ou appropriés pour une utilisation en entreprise.

Types de passeports

Il existe désormais deux types de passkeys, tels que définis par l'alliance FIDO : les passkeys liés à un appareil et les passkeys synchronisés.

Clés d'accès liées à l'appareil et clés d'accès synchronisées

Les clés de sécurité liées à un dispositif sont généralement hébergées sur des dispositifs de "clés de sécurité" spécifiques. Dans ce cas, les paires de clés sont générées et stockées sur un seul appareil ; en outre, le matériel de clé lui-même ne quitte jamais cet appareil. Ce type de clé est généralement considéré comme plus sûr car la clé privée ne quitte jamais le dispositif, ce qui la rend résistante à l'extraction ou à la compromission à distance. Toutefois, cela signifie également qu'en cas de perte ou d'endommagement de l'appareil, l'utilisateur devra réenregistrer sa clé sur son appareil une fois qu'il l'aura retrouvé ou l'ajouter à un nouvel appareil si nécessaire. Les clés de sécurité liées à l'appareil sont particulièrement appréciées dans les environnements à haut niveau d'assurance et dans les cas d'utilisation en entreprise, où l'on utilise souvent du matériel tel que des clés de sécurité ou des modules de plate-forme de confiance (Trusted Platform Modules - TPM).

Clés d'accès synchronisées

Dans le cas des clés de passe synchronisées, le matériel de clé est sauvegardé par l'intermédiaire d'une structure de synchronisation à distance, et le matériel de clé peut ensuite être restauré sur n'importe quel autre appareil appartenant au même utilisateur. Les principales structures de synchronisation actuelles sont Microsoft, Google et Apple. Cela signifie que si vous enregistrez votre téléphone Android en tant que passe-partout, les clés correspondantes seront disponibles sur tous vos autres appareils Android peu de temps après.

Les passkeys synchronisés sont, outre le fait qu'ils sont pris en charge par des services très répandus tels que WhatsApp ou Facebook, l'une des principales raisons de la forte augmentation de l'utilisation générale des passkeys. Il est facile de comprendre pourquoi : un utilisateur possédant de nombreux comptes et appareils peut utiliser le même mot de passe synchronisé pour chacun d'entre eux.

Les Passkeys remplacent les mots de passe traditionnels par des paires de clés cryptographiques, ce qui permet une authentification forte et résistante à l'hameçonnage. Lorsqu'un utilisateur s'inscrit à un service, son appareil génère une paire de clés privée-publique unique. La clé privée reste stockée en toute sécurité sur l'appareil de l'utilisateur, tandis que la clé publique est partagée avec le service. Lors de la connexion, l'appareil prouve qu'il possède la clé privée en signant un défi lancé par le service, et la signature est vérifiée à l'aide de la clé publique stockée. Aucun secret partagé n'est transmis et aucun mot de passe n'est créé ou stocké, ce qui réduit considérablement le risque de vol d'informations d'identification ou d'attaques par rejeu.

Les mots de passe traditionnels reposent sur des secrets partagés qui peuvent être devinés, volés ou hameçonnés, ce qui en fait un point d'entrée courant pour les attaquants. Ils sont souvent réutilisés d'un compte à l'autre, stockés de manière non sécurisée et vulnérables aux attaques par force brute ou par bourrage d'identifiants.

Les Passkeys éliminent ces risques en remplaçant les mots de passe par la cryptographie à clé publique-privée. La clé privée ne quitte jamais l'appareil de l'utilisateur et l'authentification se fait en prouvant la possession de cette clé, sans la transmettre. Cette approche rend obsolètes les vecteurs d'attaque les plus courants, notamment le phishing, le vol d'informations d'identification et la réutilisation de mots de passe. Pour les organisations, les passkeys offrent un bond en avant dans l'authentification sécurisée, tout en réduisant le fardeau des réinitialisations de mots de passe et des tickets d'assistance.

• Résistant à l'hameçonnage: Les Passkeys sont conçus pour empêcher les attaques de phishing traditionnelles. Comme il n'y a pas de mot de passe, il n'y a rien à voler ou à réutiliser.
• Rapide et pratique: La connexion à l'aide d'un passe est souvent aussi simple que l'utilisation de la biométrie (comme Face ID ou une empreinte digitale), ce qui rend l'expérience plus fluide pour les utilisateurs.
• Une expérience utilisateur familière: Les connexions Passkey ressemblent aux modèles d'authentification mobiles courants, de sorte qu'il n'y a que peu ou pas de courbe d'apprentissage.
• Sécurité de l'appariement des domaines: Les clés de passage offrent un niveau de protection supplémentaire en garantissant que la clé ne fonctionne qu'avec le domaine de service d'origine - un avantage que toutes les méthodes d'AMF n'offrent pas.
• Approuvé par le gouvernement: Aux États-Unis, la résistance à l'hameçonnage est l'un des principaux facteurs à l'origine des mandats fédéraux. Décret 14028 exige une authentification sans mot de passe et résistante à l'hameçonnage pour protéger les infrastructures critiques.

Si les passkeys présentent des avantages considérables, ils s'accompagnent également de quelques défis et problèmes importants.

• Expérience de l'utilisateur : Les invites du Passkey, telles que l'insertion de la clé de sécurité dans le port USB ou la saisie du code PIN, par exemple, sont différentes selon le système d'exploitation et le navigateur. Ces invites compliqueront probablement la formation des utilisateurs et augmenteront le nombre d'appels au service d'assistance.
• Distraction par rapport à d'autres attaques : Quiconque pense que l'utilisation de passkeys l'immunise soudainement contre les contournements de l'AMF et les attaques d'ingénierie sociale se trompe lourdement. Les passkeys permettent de lutter contre un type d'attaque d'ingénierie sociale : l'hameçonnage. Malheureusement, il existe d'autres variantes. Les attaques contre MGM Resorts ou Caesars Palace à Las Vegas comportaient une composante d'ingénierie sociale : l'exploitation du service d'assistance pour permettre à l'attaquant d'enregistrer lui-même un authentificateur MFA.
• Défis liés à la perte ou à la mise à jour d'un appareil : Si les utilisateurs perdent l'accès à un appareil (et n'ont pas activé la synchronisation ou la sauvegarde), ils peuvent avoir des difficultés à récupérer leurs clés de passe, en particulier pour les clés liées à un appareil.
• Une prise en charge limitée dans tous les services : Bien qu'ils soient de plus en plus adoptés, tous les sites web ou systèmes d'entreprise ne prennent pas encore en charge les clés USB, ce qui peut en limiter l'utilisation au quotidien.
• Confusion ou méconnaissance de la part des utilisateurs : Le concept de passkeys est encore nouveau pour de nombreux utilisateurs, ce qui peut entraîner une certaine confusion quant à la configuration, la synchronisation ou ce qui se passe réellement sous le capot. Les variations terminologiques (passkeys, clés de sécurité, clés FIDO) et l'évolution des normes dans l'industrie peuvent accroître cette confusion et rendre difficile pour les utilisateurs et les organisations de comprendre clairement les meilleures pratiques et de mettre en œuvre et d'adopter les passkeys de manière cohérente. Cela peut également conduire à des erreurs lors de la configuration et de l'utilisation, à une augmentation des appels au support et à des lacunes potentielles en matière de sécurité.
• Préparation de l'infrastructure : Le déploiement des passkeys peut nécessiter des mises à jour des plateformes d'identité, des politiques de gestion des appareils et des efforts de formation, en particulier lorsque l'on s'éloigne de l'authentification traditionnelle. Les entreprises peuvent constater que les ressources existantes ou sur site ne sont pas compatibles avec les passkeys en raison de l'authentification Web uniquement. Dans ce cas, les organisations doivent moderniser leur MFA avec des capacités sans mot de passe qui peuvent couvrir les environnements et maintenir l'infrastructure existante.

Compte tenu des défis que posent les clés USB d'aujourd'hui lorsqu'il s'agit de fournir des flux de travail uniformes sur différents navigateurs, appareils et systèmes d'exploitation, que peut faire l'industrie pour garantir une expérience véritablement transparente et multiplateforme ? Comment pouvons-nous déterminer le meilleur moyen de résoudre les incohérences qui peuvent déconcerter les utilisateurs et bloquer l'adoption généralisée ? Chez RSA, nos responsables UX participent activement aux groupes de travail de l'Alliance FIDO afin de plaider en faveur d'une expérience utilisateur cohérente. En apportant nos idées, nous souhaitons contribuer à l'élaboration de normes qui réduisent les distractions, les frictions et l'uniformité pour les utilisateurs finaux.

La mobilité est un autre aspect de la création d'une expérience "passkey" transparente dans tous les environnements. Les travailleurs s'attendent de plus en plus à la commodité des flux de travail mobiles. Si l'accès aux ressources de l'entreprise sur un smartphone semble aussi intuitif que le déverrouillage de ce même appareil, l'adoption de nouvelles méthodes d'authentification, telles que les clés de sécurité, devient beaucoup plus facile. Une expérience mobile sans friction permet de vaincre la résistance des utilisateurs, de minimiser la courbe d'apprentissage et de faciliter la transition vers l'abandon des mots de passe. En proposant une interface familière, transparente en ce qui concerne les autorisations et cohérente quel que soit l'appareil ou la plate-forme de l'utilisateur, les entreprises peuvent réduire la confusion et améliorer la confiance. La solution mobile FIDO de RSA est un exemple de mise en œuvre d'une clé de sécurité en fonction de l'appareil.

On dit que lorsqu'on a un marteau, tout peut ressembler à un clou. Transformer en application d'entreprise une solution, même excellente, qui était à l'origine destinée à un usage grand public, peut présenter des risques importants.

En lisant cet article, vous avez peut-être eu un sentiment de malaise à la mention du "tissu de synchronisation". Votre intuition était la bonne.

Le fait que les passkeys apparaissent comme par magie sur tous les appareils sur lesquels l'utilisateur est connecté via Apple ou Google est un signal d'alarme majeur dans l'environnement de l'entreprise et devrait soulever des questions importantes :

• Les utilisateurs devraient-ils être autorisés à utiliser plusieurs dispositifs (éventuellement aussi privés) pour l'authentification ? Si oui, combien ?
• La synchronisation des codes d'accès permet de restaurer un code d'accès "perdu" à l'aide des processus de récupération de compte de Google ou d'Apple, par exemple. C'est très bien... mais ces processus sont-ils suffisamment sûrs pour vous ?
• La fonction d'Apple qui permet aux utilisateurs de partager leurs clés d'accès avec leurs amis ou leur famille est assez intéressante... mais cela s'applique-t-il également aux clés d'accès utilisées pour se connecter à des applications d'entreprise ?

Lorsque vous utilisez des passkeys synchronisés, la sécurité de votre entreprise dépend soudain en grande partie de la sécurité technique et organisationnelle d'Apple et de Google. Bien sûr, il existe une certaine dépendance en raison de l'utilisation d'un mot de passe synchronisé. iOS et Android-Mais les clés de passage synchronisées augmentent considérablement cette dépendance.

Il ne s'agit pas non plus d'une vulnérabilité théorique. L'année dernière, Retool a expliqué comment des acteurs de la menace l'avaient utilisée pour accéder à ses systèmes : Retravailler a écrit que cette fonctionnalité signifie que "si votre compte Google est compromis, vos codes MFA le sont aussi".

Il ne s'agit pas non plus d'une vulnérabilité théorique. L'année dernière, les Retravailler a expliqué comment des acteurs de la menace l'avaient utilisée pour accéder à ses systèmes : Retool a écrit que cette fonctionnalité signifie que "si votre compte Google est compromis, vos codes MFA le sont aussi".

Il n'est pas possible de répondre de manière générale à la question de savoir si les passkeys doivent être utilisés dans l'entreprise. Chaque organisation est différente et doit trouver un équilibre entre ses priorités uniques en matière de sécurité et de fonctionnement.

En outre, l'utilisation des clés ne devrait pas être une question de oui ou de non. L'introduction de passkeys ou de connexions sans mot de passe en général devrait être utilisée pour revoir fondamentalement l'ensemble des processus MFA d'une organisation. Ce qui a été valable pour les jetons OTP matériels pendant 15 ans ne l'est probablement plus tout à fait pour les clés d'accès ou d'autres méthodes d'AMF aujourd'hui.

RSA pense que les passkeys peuvent être déployés pour une utilisation en entreprise s'ils s'alignent sur la stratégie de l'organisation et si les organisations réfléchissent à leurs réponses aux questions suivantes. Nous avons vu des organisations utiliser avec succès des passkeys en utilisant RSA^® ID Plus, Notre plateforme complète de gestion de l'identité et de l'accès (IAM) offre une gamme d'options sans mot de passe.

Parce que nous sommes une organisation qui privilégie la sécurité et que nous utilisons les principes Secure by Design / Secure by Default, nous empêchons l'utilisation de clés de chiffrement synchronisées par défaut. Seuls les passkeys liés au périphérique sont disponibles par défaut dans les environnements RSA afin de fournir un niveau de sécurité maximal dès la sortie de la boîte et sans travail supplémentaire de la part des administrateurs.

Lorsqu'elles évaluent l'opportunité d'introduire des passkeys, les organisations doivent se poser les questions suivantes : comment nos authentificateurs sont-ils enregistrés ? Existe-t-il des processus permettant de gérer en toute sécurité le scénario "J'ai perdu mon authentificateur" ? Qu'en est-il de la classification des utilisateurs, des applications et des données ?

Les passeports sont un Méthode de l'AMF parmi d'autres. Oui, leur résistance au phishing est fantastique, mais les utilisateurs peuvent-ils se connecter avec ce logiciel sur leurs postes de travail distants ?

Pour ces raisons et bien d'autres, il est important que votre système MFA ne soit pas seulement techniquement à jour, mais qu'il prenne également en charge une grande variété de méthodes MFA, telles que les codes QR, la biométrie, l'OTP, les messages push et les passkeys.

Il est également important que les processus liés à l'AMF soient adaptés aux nouvelles menaces. Cela va bien au-delà du système MFA proprement dit : votre service d'assistance est-il également à l'abri des attaques d'ingénierie sociale ?

Si les passkeys ont un sens pour vous, nous voulons vous aider. Contactez nous pour en savoir plus ou lancer un essai gratuit de 45 jours d'ID Plus.