Les clés d'accès sont pour la première fois disponibles sur WhatsApp. Si la fonction est activée, les utilisateurs pourront à l'avenir se connecter à l'application de Meta grâce aux caractéristiques biométriques de leur iPhone, c'est-à-dire Face ID ou Touch ID. La fonction a déjà été déployée pour les téléphones Android l'automne dernier.
Selon un porte-parole de WhatsApp, la fonction sera visible petit à petit pour les utilisateurs d'iPhone dans les semaines à venir. Les clés d'accès peuvent être activées dans l'application sous Paramètres > Compte > Clés d'accès > Créer une clé d'accès. Cette fonctionnalité doit permettre de rendre encore plus difficile le détournement de comptes WhatsApp par des personnes mal intentionnées. À l'avenir, il ne sera donc plus nécessaire de saisir un code unique par SMS. «Nous sommes heureux de pouvoir offrir aux utilisateurs un niveau de sécurité supplémentaire avec cette fonction», déclare Alice Newton-Rex, chef de produit chez WhatsApp.
Que sont les passkeys?
Les Passkeys remplacent les mots de passe et les codes SMS. Outre WhatsApp, X, Google, TikTok, PayPal et d'autres services ont déjà introduit cette fonction. Elle permet une connexion plus rapide, plus simple et plus sûre aux sites web et aux applications sur les appareils des utilisateurs. En effet, contrairement à un mot de passe qu'il faut mémoriser ou taper, la Passkey est enregistrée sur l'appareil et complète la connexion avec des caractéristiques biométriques (empreinte digitale ou visage) ou encore le code PIN de l'appareil. Il n'est plus nécessaire non plus de procéder à une authentification à deux facteurs ou à une vérification par SMS. Cela rend le système plus convivial et la sécurité ne dépend pas de la discipline de certains utilisateurs.
Comment cela fonctionne-t-il exactement?
Les Passkeys se composent de plusieurs éléments, dont une clé publique et une clé privée. Il s'agit d'un procédé cryptographique. Lorsque l'on souhaite s'inscrire à une application comme WhatsApp ou à un site web, celle-ci envoie une énigme à son propre appareil. Celle-ci est résolue à l'aide d'une clé privée, signée et comparée à une clé publique sur le serveur. La clé privée est cryptée sur le propre appareil. Si l'on souhaite se connecter à un nouvel appareil, par exemple à un PC au travail, il suffit de scanner un code QR avec son téléphone portable. Ensuite, on appose son empreinte digitale ou on utilise par exemple Face ID sur l'iPhone et on est déjà connecté, sans mot de passe.
Est-ce vraiment plus sûr?
Oui, car toutes les informations sensibles – c'est-à-dire la clé privée et les caractéristiques biométriques personnelles – ne sont pas transmises lors de la connexion. Rien ne peut donc être intercepté. La méthode est donc plus sûre contre le phishing, car aucun mot de passe ne peut être volé. Les utilisateurs ne peuvent plus être trompés par des domaines d'apparence similaire tels que mail.google.ch ou mail.gooogle.ch. En effet, une clé distincte est générée pour chaque service. «C'est la première méthode d'authentification qui exclut l'erreur humaine tout en offrant sécurité et convivialité», explique Jeff Shiner, CEO de 1Password au printemps 2023.
Puis-je utiliser les Passkeys ailleurs?
Avec cette annonce de WhatsApp, les Passkeys s'ancrent davantage dans la vie quotidienne et deviennent une réalité pour des millions d'utilisateurs dans le monde. D'autres suivront. De grandes entreprises tech ont intégré la nouvelle méthode de connexion dans leurs systèmes au cours des derniers mois. Apple avec iOS 16 et MacOS Ventura, Google avec Android en octobre 2022 et ChromeOS en 2023. Microsoft déploie la fonction à grande échelle en 2023 et 2024.
Que se passe-t-il si je perds mon téléphone?
Les clés d'accès peuvent être synchronisées entre les différents appareils. Ceci est sécurisé par un cryptage de bout en bout. Si vous perdez tous vos appareils, vous pouvez récupérer les logins via le support des entreprises tech. La plupart du temps, il est également possible d'indiquer un contact alternatif pour la restauration. En outre, il est actuellement encore possible de se connecter aux services avec un nom d'utilisateur et un mot de passe. La vision est toutefois celle d'un avenir sans mot de passe, selon Google.
Qui est derrière tout cela?
La procédure d'authentification a été développée par la Fido Alliance. Fido signifie Fast Identity Online. Outre les grands acteurs comme Google, Apple et Microsoft, de nombreuses autres entreprises font partie de cette alliance. La procédure est ouverte et indépendante des fabricants.