C'est le cauchemar de la sécurité moderne. Alors que les géants de la tech nous poussent à abandonner nos vieux mots de passe pour les passkeys, présentés comme la forteresse imprenable de nos vies numériques, une recherche vient de faire voler en éclats cette belle promesse. La société de cybersécurité SquareX a prouvé que le vol de passkeys est non seulement possible, mais "aussi trivial que le vol d'identifiants traditionnels".

Comment fonctionne cette nouvelle attaque ?

L'attaque, baptisée "Passkeys Pwned", exploite le maillon faible de tout le système : le navigateur. Des chercheurs ont prouvé qu'une extension de navigateur nuisible, mise en place par le biais d'une méthode de manipulation sociale, est capable d'intercepter et de modifier la communication entre l'utilisateur et le site internet lorsqu'un nouveau passkey est généré.

mot de passe

En pratique, lorsque l'utilisateur tente d'enregistrer sa clé sécurisée, l'extension produit en secret sa propre paire de clés sous le contrôle de l'attaquant. Le pirate parvient alors à obtenir une copie de la clé privée, lui offrant un contrôle total sur le compte, sans que la victime ne s'en aperçoive. L'interface est en tout point identique à une procédure légitime.

La promesse des passkeys est-elle donc un mensonge ?

Techniquement, non. Le principe fondamental du passkey, à savoir que la clé privée ne quitte jamais l'appareil, reste vrai. L'attaque de SquareX ne "vole" pas un passkey déjà existant sur le téléphone de l'utilisateur. Elle est plus sournoise : elle trompe l'utilisateur pour qu'il enregistre une nouvelle clé, compromise dès sa création. Si un passkey est déjà présent, l'extension peut feindre un échec de connexion pour inciter l'utilisateur à en générer un nouveau.

Passkeys Apple

Le problème ne vient pas de la technologie FIDO elle-même, mais du fait qu'elle repose sur l'hypothèse que l'environnement d'exécution – le navigateur – est "honnête" et digne de confiance. Une hypothèse aujourd'hui battue en brèche.

Quelles sont les implications pour les entreprises et les utilisateurs ?

L'enjeu est colossal. Avec plus de 15 milliards de comptes déjà sécurisés par des passkeys et 80% des données d'entreprise stockées sur des applications SaaS, cette vulnérabilité ouvre un nouveau front pour les pirates. Les outils de sécurité traditionnels, comme les antivirus ou les protections réseau, sont aveugles à ce qui se passe à l'intérieur du navigateur et ne peuvent donc pas détecter ce type d'exploit.

Passkey

Cette recherche est un "signal d'alarme" : la transition massive vers les passkeys a introduit une nouvelle dépendance critique à la sécurité du navigateur, un domaine souvent négligé. La solution ne réside plus seulement dans la robustesse de l'authentification, mais dans la capacité à surveiller et bloquer les scripts malveillants directement là où ils opèrent.

Foire Aux Questions (FAQ)

Suis-je en danger si j'utilise déjà des passkeys ?

Vos passkeys existants et correctement enregistrés ne peuvent pas être volés par cette méthode. Le risque apparaît si vous êtes amené à installer une extension de navigateur malveillante et que celle-ci vous incite à enregistrer un nouveau passkey sur un site.

Comment puis-je me protéger contre ce type d'attaque ?

Il est crucial de rester vigilant. Veillez à n'installer que des extensions issues de sources fiables et portez une attention particulière aux permissions qu'elles requièrent. Tenez votre navigateur à jour, optez pour un antivirus fiable et réduisez le nombre d’extensions installées à ce qui est strictement indispensable.

Les experts en sécurité remettent-ils en cause l'utilité des passkeys ?

Non, les passkeys restent une avancée majeure et une défense bien plus robuste que les mots de passe contre le phishing classique ou les fuites de données. Cette recherche ne les invalide pas, mais elle souligne qu'aucune solution n'est une solution miracle et que la sécurité doit être pensée de manière globale, en incluant désormais le navigateur comme un point de défense critique.