CXP : le nouveau standard pour importer et exporter les passkeys

L'alliance FIDO dévoile CXP, un nouveau standard qui devrait permettre d'importer et d'exporter les passkeys entre différents gestionnaires de mots de passe. Cette solution est aussi sécurisée que les clés physiques, tout en étant bien plus pratique !
Les mots de passe ne constituent plus un système de protection fiable de nos jours. Souvent trop faibles, réutilisés sur plusieurs sites et comptes, ils peuvent en effet être facilement compromis après un phishing réussi. Des solutions ont bien été mises en place pour combler ces faiblesses, comme la double authentification – qui n'est pas infaillible – et les gestionnaires de mots de passe – qui peuvent être piratés –, mais les risques existent toujours, surtout à l'heure où les pirates font de plus en plus preuve d'imagination.
Cela fait un moment que l'alliance FIDO (Fast Identity Online) – un consortium de grandes entreprises technologiques, d'agences gouvernementales, de fournisseurs de services, d'institutions financières, de processeurs de paiement et d'autres industries, dont Apple, Amazon, Microsoft, PayPal et Google – travaille sur une technologie visant à éliminer l'utilisation du mot de passe : les passkeys ! Et les choses avancent à ce niveau !
Comme elle l'explique sur son site, l'alliance vient de mettre au point un nouveau standard permettant d'exporter et d'importer ses passkeys d'un système à l'autre : le CXP (Credential Exchange Protocol). Il s'agit d'un format de fichier qui devrait rendre les clés d'authentification plus portables et améliorer la compatibilité entre les différentes plateformes. Ainsi, les passkeys pourront bientôt être importées et exportées entre différents gestionnaires de mots de passe. Une révolution !
Passkey : comment fonctionne le remplaçant du mot de passe ?
En faisant usage des passkeys, l'utilisateur choisit un appareil – logiquement son smartphone – comme système d'authentification principal sur les sites et applications. Au moment de l'inscription ou de la modification du moyen de connexion, le smartphone crée deux clés chiffrées : une publique qui est envoyée au fournisseur de service, et une clé privée qui reste stockée dans le téléphone et permettra au site web ou à l'application de l'authentifier en débloquant l'appareil via son mécanisme d'authentification du smartphone – code PIN, modèle, reconnaissance faciale ou empreinte digitale.
Pour simplifier, au lieu d'entrer un mot de passe, il suffit d'utiliser la méthode de déverrouillage habituelle de son appareil principal. Et le tour est joué ! Notons que le passkey du smartphone peut aussi être utilisé pour se connecter sur un site via un autre appareil – comme son ordinateur portable. Il suffit de scanner le QR code qui est affiché sur le site avec son smartphone.
CXP : une nouvelle norme pour la portabilité des passkeys
De nombreuses plateformes comme Google, Apple, Microsoft ou encore WhatsApp ont d'ores et déjà commencé à prendre en charge les passkeys. Un obstacle subsiste toutefois à leur adoption. Jusqu'à présent, lorsque l'on génère une clé d'accès, celle-ci est souvent rattachée à un appareil en particulier et est difficilement exportable en cas de changement d'appareil ou si l'on jongle entre plusieurs écosystèmes logiciels. Mais les choses devraient changer très prochainement.
1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Otka, Samsung, et SK Telecom se sont associés pour rendre possible l'interopérabilité de leurs plateformes. Ainsi, le CXP devrait permettre de faire transiter ses passkeys du gestionnaire de mot de passe Apple à celui de Google par exemple. Un pas énorme vers la compatibilité cross-plateforme, qui devrait permettre aux passkeys de remplacer les mots de passe. D'après la FIDO, plus de 12 milliards de comptes seraient aujourd'hui sécurisés à l'aide de clés d'accès. La liberté offerte par la norme CXP devrait aider à convaincre le grand public de les adopter et faire grimper ce chiffre très rapidement.