Passkeys WhatsApp : la fin du mot de passe dans la messagerie instantanée
Plus besoin de mot de passe pour vous connecter à WhatsApp ! La messagerie instantanée va permettre d'utiliser des clés d'accès (passkeys), une technologie plus fiable et plus simple recourant à l'authentification biométrique.
Les géants d'Internet se dirigent progressivement vers un futur sans mots de passe. Après Google et Windows, c'est au tour de WhatsApp d'inaugurer la connexion à son application Android avec les passkeys – aussi appelées clés d'accès –, une technologie commode et fiable qui permet de se connecter en un clin d'œil, de façon sécurisée, sans avoir à se soucier de son mot de passe, par le biais de capteurs biométriques, d'un code PIN de verrouillage du smartphone ou de clés électroniques d'authentification physique. En plus du mot de passe, les clés d'accès remplacent également l'identification à deux facteurs (2FA), ce qui rend donc l'identification encore plus rapide et efficace lorsque l'on configure l'accès à WhatsApp sur un autre appareil. La fonction était en phase de test depuis cet été, avec une bêta publique lancée en août dernier. Et les tests ont visiblement été concluants, puisque la messagerie de Meta a annoncé le déploiement des passkeys pour l'ensemble de ses utilisateurs. Celui-ci se fait de façon progressive, il est donc possible qu'il faille attendre un peu avant d'en profiter. De plus, la fonction est disponible uniquement sur la version Android de WhatsApp, et non sur iOS. Les utilisateurs seront invités à configurer leurs clés de sécurité au cours des prochaines semaines. Bien entendu, ceux qui le souhaitent pourront conserver leurs méthodes d'authentification habituelles.
Passkey : pourquoi et comment remplacer les mots de passe ?
En utilisant les passkeys, l'utilisateur définit un appareil – généralement son smartphone – comme système d'authentification principal sur les sites et les applications. Lors de l'inscription ou de la modification de la méthode de connexion, le smartphone génère deux clés chiffrées : une clé publique transmise au fournisseur de services, et une clé privée stockée dans le téléphone. Cette clé privée permet au site Web ou à l'application de l'authentifier en déverrouillant l'appareil par le biais des méthodes d'authentification habituelles, telles que le code PIN, le schéma, la reconnaissance faciale ou l'empreinte digitale. Pour faire simple, au lieu de saisir un mot de passe, il suffit d'utiliser la méthode de déverrouillage habituelle de son appareil principal !
Android users can easily and securely log back in with passkeys only your face, finger print, or pin unlocks your WhatsApp account pic.twitter.com/In3OaWKqhy
— WhatsApp (@WhatsApp) October 16, 2023
Mais pourquoi chercher à créer un futur sans mots de passe ? Parce que les passkeys possèdent de nombreux avantages. À commencer, évidemment, par leur aspect pratique. Plus besoin de retenir ni de saisir un sésame long et complexe : la connexion est instantanée ! Mais plus important encore : les clés d'accès offrent une bien meilleure protection que les mots de passe face aux cybercriminels. En effet, ils sont souvent trop faibles, réutilisés sur plusieurs sites et comptes, et peuvent être compromis après un phishing réussi. Des solutions ont bien été mises en place pour combler ces faiblesses, comme la double authentification – qui n'est pas infaillible – et les gestionnaires de mots de passe – qui peuvent être piratés –, mais les risques existent toujours, surtout à l'heure où les pirates font de plus en plus preuve d'imagination. Une belle amélioration pour WhatsApp et ses deux milliards d'utilisateurs, qui constituent une cible privilégiée pour les cybercriminels.
Cela fait un moment que l'alliance FIDO – un consortium de grandes entreprises technologiques, d'agences gouvernementales, de fournisseurs de services, d'institutions financières, de processeurs de paiement et d'autres industries, dont Apple, Amazon, Microsoft, PayPal et Google (voir notre article) – travaille sur la technologie visant à éliminer l'utilisation du mot de passe que sont les passkeys. Ces géants de la tech ont alors décidé de la porter sur leurs systèmes d'exploitation respectifs. Les versions récentes de Windows, iOS, macOS et Android sont ainsi toutes compatibles avec les clés d'accès, ce qui accélère leur popularisation. Toutefois, le mot de passe n'est pas encore mort ! Eh oui, il demeure obligatoire lors de la création d'un compte… et peut toujours servir, notamment si l'on perd les appareils sur lesquels sont hébergées les clés d'accès !