Méthodes de connexion et d'authentification par QR Code

Les méthodes d'authentification sécurisées et pratiques sont plus cruciales que jamais. Avec le nombre croissant de services en ligne auxquels nous accédons quotidiennement sur différents appareils, les systèmes traditionnels basés sur des mots de passe deviennent moins efficaces et plus contraignants. En particulier pour les entreprises qui ont un grand nombre d'utilisateurs sur leurs applications natives (iOS ou Android), cela a entraîné une demande croissante pour les connexions basées sur des QR codes, qui offrent un moyen simple et rapide d'authentifier les utilisateurs sans avoir à saisir de mots de passe complexes, ni même de noms d'utilisateur.

Dans ce contexte, des questions comme les suivantes se posent :

• Comment fonctionne l'authentification par QR code avec les applications natives ?
• Comment se compare-t-elle à l'authentification par QR code avec les passkeys ?

Native QR Code Revolut

Passkeys QR Code Apple

Parmi les exemples notables de QR codes pour la connexion aux applications natives, on trouve des services axés sur les applications comme WhatsApp, TikTok ou Revolut. En parallèle, la liste des entreprises qui prennent en charge la connexion par passkeys s'allonge rapidement.

Dans cet article, nous allons explorer les techniques d'authentification basées sur les QR codes. Nous ne nous concentrerons pas sur les QR codes TOTP utilisés pour l'initialisation d'un second facteur (avec des applications supplémentaires comme Authy ou Google Authenticator)**.

Nous comparerons également différentes méthodes d'authentification basées sur les QR codes, en examinant leurs forces, leurs faiblesses et leurs vulnérabilités potentielles.

À la fin de cet article, vous comprendrez mieux si l'authentification par QR code est le bon choix pour vos besoins en matière de sécurité.

Les QR codes, ou codes à réponse rapide, sont des codes-barres bidimensionnels qui peuvent stocker une variété d'informations, allant des URL au texte brut. Développés à l'origine en 1994 par Denso Wave, une filiale du groupe Toyota, les QR codes ont été conçus pour suivre rapidement et efficacement les pièces automobiles. Depuis lors, les QR codes ont évolué et ont trouvé leur place dans diverses industries en raison de leur capacité à stocker une grande quantité de données dans un petit carré scannable.

Le terme « QR Code » est en fait une marque déposée de Denso Wave, bien que la technologie elle-même soit devenue largement adoptée et ne soit pas limitée par la marque. Les QR codes se caractérisent par leurs motifs carrés noirs et blancs, qui peuvent être scannés à l'aide d'un smartphone ou d'un lecteur dédié (scanner de QR code) pour accéder aux informations codées.

La prise en charge des QR codes est intégrée aux systèmes d'exploitation mobiles comme iOS et Android depuis plusieurs années. Les deux plateformes prennent en charge nativement la lecture des QR codes via leurs applications d'appareil photo respectives, ce qui facilite l'interaction des utilisateurs avec les QR codes sans avoir besoin de logiciel supplémentaire.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Généralement, les QR codes utilisés avec des applications exploitent des URL personnalisées ou des liens d'application. Ces liens peuvent déclencher l'ouverture automatique de l'application si elle est installée sur l'appareil. Si l'application n'est pas installée, le QR code peut diriger l'utilisateur vers la boutique d'applications correspondante pour la télécharger et l'installer, facilitant ainsi une expérience utilisateur fluide. Voici une liste des chemins que Revolut a enregistrés pour la gestion des applications :

https://revolut.com/.well-known/apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx-debug",
                "paths": ["/app/*"]
            }
        ]
    }
}

Comme vous pouvez le voir, tous les liens commençant par « /app/* » sont gérés. Vous en verrez un exemple dans la section suivante. En intégrant des URL personnalisées et des liens d'application dans les QR codes, les entreprises et les développeurs peuvent créer des expériences sur mesure qui mènent les utilisateurs directement à l'application ou au service souhaité, améliorant ainsi à la fois la commodité et la sécurité des interactions.

La connexion par QR code via les applications natives tire parti de l'interaction transparente entre l'appareil photo d'un appareil mobile et des URL spécifiques intégrées dans les QR codes. Le processus commence généralement par un utilisateur qui scanne un QR code affiché sur un site web ou un autre appareil à l'aide de l'appareil photo de son smartphone. Le QR code contient une URL personnalisée spécialement conçue pour interagir avec une application native particulière, comme celles que l'on trouve sur les appareils iOS ou Android.

Par exemple, un service comme Revolut pourrait utiliser un QR code avec une URL telle que https://revolut.com/app/challenges/qr/e2d78521-d38a-4773-b1b8-27a902a36b4b. Cette URL est destinée à être reconnue par l'application Revolut installée sur l'appareil de l'utilisateur.

Lorsque le QR code est scanné, l'application intercepte automatiquement ce lien, le reconnaît, affiche l'application correspondante (dans l'exemple ci-dessus, « Revolut » est identifié comme l'application correspondante) et procède à la gestion interne du processus de connexion. Cette interaction est facilitée par des mécanismes de liens profonds (deep linking) pris en charge par iOS et Android, qui permettent à des liens spécifiques de s'ouvrir directement dans une application installée plutôt que dans un navigateur web :

Si l'application n'est pas installée sur l'appareil, le système d'exploitation invite généralement l'utilisateur à l'installer en le redirigeant vers la boutique d'applications appropriée, que ce soit l'App Store d'Apple pour les appareils iOS ou le Google Play Store pour les appareils Android.

Cela garantit que même si l'utilisateur n'a pas l'application installée au départ, il peut l'obtenir rapidement et facilement, et poursuivre le processus après l'installation.

Dans la plupart des cas, les clients existants qui ont déjà installé l'application bénéficient d'un processus de connexion fluide. Ils scannent le QR code, l'application s'ouvre automatiquement et l'authentification est terminée sans qu'il soit nécessaire de saisir un nom d'utilisateur ou un mot de passe. Cette méthode offre avant tout une grande commodité aux utilisateurs, car aucune information sensible n'est transmise pendant le processus de scan du QR code.

Techniquement, ce qui se passe, c'est qu'une session déjà ouverte sur un téléphone mobile est utilisée pour authentifier une nouvelle session sur l'ordinateur de bureau. Il existe différentes techniques pour ce faire. Une version très élaborée est publiée dans le livre blanc sur la sécurité de WhatsApp sous Client Registration à Companion Device Registration à Link Using QR-Code.

Tiré de https://engineering.fb.com/2021/07/14/security/whatsapp-multi-device/

Comme WhatsApp prend en charge l'accès multi-appareils et le chiffrement de bout en bout depuis 2021, l'architecture n'est pas parfaitement adaptée à l'authentification, car le protocole est principalement conçu pour une application de messagerie multi-appareils. Il existe des approches plus simples pour réaliser un handshake sécurisé, en fonction de la mise en œuvre réelle de l'authentification. Il faut garder à l'esprit que nous devons toujours garantir une gestion sécurisée des sessions utilisateur et des canaux de communication entre l'appareil et le serveur. Quelle que soit la complexité de la mise en œuvre de la connexion par authentification par QR code, certains principes de sécurité clés doivent toujours être respectés :

1. Intégrité de la session : La session existante sur le téléphone mobile, utilisée pour authentifier une nouvelle session sur un ordinateur de bureau ou un autre appareil, doit être validée de manière sécurisée. Cela implique généralement de vérifier l'authenticité de la session à l'aide de jetons sécurisés ou d'autres méthodes cryptographiques pour empêcher le détournement de session ou les attaques par rejeu.
2. Communication chiffrée : Toutes les communications entre l'application mobile, le serveur et l'appareil demandant l'authentification doivent être chiffrées à l'aide de HTTPS. Cela permet de garantir que les informations sensibles, y compris les jetons de session et les détails de connexion, ne peuvent pas être interceptées ou modifiées pendant la transmission.
3. Génération de jetons sécurisés : Tous les jetons ou identifiants générés pour le processus d'authentification par QR code doivent être générés de manière sécurisée. Cela pourrait inclure de l'épingler à l'appareil demandeur afin qu'il ne puisse pas être utilisé sur d'autres appareils par mesure de précaution (par exemple, Browser-Agent).
4. Connexion vérifiée par l'utilisateur : Avant de finaliser le processus d'authentification, il est recommandé d'avoir une étape où l'utilisateur peut vérifier ou confirmer la tentative de connexion. Cela pourrait prendre la forme d'une notification sur l'appareil mobile nécessitant l'approbation de l'utilisateur et affichant les détails de l'authentification, ajoutant une couche de sécurité supplémentaire (comme on peut le voir dans la capture d'écran ci-dessus).
5. Restrictions basées sur le temps : Mettez en œuvre des restrictions basées sur le temps sur la validité du QR code pour minimiser le risque que le QR code soit utilisé pour un accès non autorisé s'il tombe entre de mauvaises mains. Limiter la fenêtre de temps pendant laquelle un QR code peut être utilisé aide à réduire les menaces de sécurité potentielles. Il devrait se rafraîchir automatiquement et avoir une validité maximale inférieure à 120 secondes pour éviter les attaques de l'homme du milieu.
6. Restriction basée sur la localisation : Les limitations concernant les tentatives de connexion, telles que les détections de « déplacements impossibles », devraient également être appliquées avec les QR codes. Cela pourrait impliquer d'intercepter automatiquement les tentatives de connexion basées sur des renseignements suspects liés à l'adresse IP, comme la génération d'un QR code aux États-Unis alors que l'application est ouverte pour authentification en Europe.
7. Limitation du débit, journalisation et surveillance : Mettez en œuvre une limitation de débit, une journalisation et une surveillance appropriées pour détecter et répondre à toute activité suspecte associée aux connexions par QR code. Cela aide à identifier les failles de sécurité potentielles et à prendre des mesures rapides pour protéger les comptes des utilisateurs.
8. Notification à l'utilisateur : Les tentatives de connexion réussies sur un nouvel appareil devraient déclencher une notification par e-mail à l'utilisateur avec des informations importantes (telles que quand et où la connexion a été tentée, avec quel appareil et quelle adresse IP) et des instructions sur ce qu'il faut faire si la connexion n'a pas été déclenchée par l'utilisateur (comme contacter immédiatement le service, surveiller le compte ou supprimer tous les appareils connectés si le système le permet).

En suivant ces bonnes pratiques, les entreprises peuvent mettre en œuvre une authentification basée sur les QR codes qui est à la fois conviviale et sécurisée, en tirant parti de la commodité des appareils mobiles tout en maintenant des mesures de sécurité robustes pour protéger les données et les sessions des utilisateurs.

Become part of our Passkeys Community for updates & support.

Join

Examinons maintenant les connexions par QR code via les passkeys.

L'authentification basée sur les passkeys offre un système d'authentification inter-appareils sécurisé, intégré aux écosystèmes iOS et Android et spécifié dans la norme WebAuthn. Actuellement, seuls les passkeys créés sur iOS ou Android peuvent être utilisés pour l'authentification inter-appareils (CDA) via des QR codes.

Analysons le fonctionnement de la connexion par QR code avec les passkeys. Le schéma suivant présente un aperçu général des différentes étapes.

Pour iOS et Android, les passkeys sont stockés dans l'authentificateur natif de la plateforme (par exemple, Face ID, Touch ID ou Android Biometrics). Cela garantit que les passkeys d'un utilisateur sont disponibles sur tous ses appareils connectés au même identifiant Apple (pour iOS) ou compte Google (pour Android) sur les versions modernes du système d'exploitation.

• Les deux appareils doivent avoir une connexion Internet active : Les deux appareils impliqués dans le processus d'authentification doivent avoir une connexion Internet active. C'est crucial pour synchroniser les données et vérifier les identifiants pendant le processus d'authentification.
• Les deux appareils doivent prendre en charge le Bluetooth : Les deux appareils doivent prendre en charge le Bluetooth, et le Bluetooth doit être activé. Le Bluetooth est utilisé pour établir la proximité entre les appareils, garantissant qu'ils sont proches l'un de l'autre pendant l'authentification, ce qui atténue le risque d'hameçonnage (phishing) depuis un emplacement distant.

• Passkeys de bureau liés à un appareil : Les passkeys qui sont liés à un appareil et sur des ordinateurs de bureau, par exemple sur les plateformes Windows, ne sont pas éligibles pour la CDA basée sur les QR codes.
• Dépendance au Bluetooth : Le fait de dépendre du Bluetooth peut parfois être un inconvénient en raison de problèmes de connectivité potentiels ou de paramètres de l'appareil qui pourraient interférer avec la vérification de proximité Bluetooth. Bien que l'établissement de la proximité puisse renforcer la sécurité, il peut également entraîner des difficultés d'utilisation si les appareils ne parviennent pas à se connecter via Bluetooth. Cependant, une fois que les appareils sont appariés avec succès, les connexions ultérieures deviennent généralement plus simples.

Discuss passkeys news and questions in r/passkey.

Join Subreddit

• Pas d'attaques d'hameçonnage à distance : L'utilisation du Bluetooth pour les vérifications de proximité garantit que les deux appareils sont physiquement proches l'un de l'autre pendant le processus d'authentification, réduisant ainsi le risque d'attaques d'hameçonnage (phishing) depuis des emplacements distants.
• Les passkeys synchronisés offrent une meilleure UX : La synchronisation des passkeys entre les appareils offre également une expérience utilisateur transparente, car les utilisateurs n'ont pas besoin de gérer plusieurs ensembles d'identifiants.

Lors de la mise en œuvre de l'authentification inter-appareils (CDA) basée sur les passkeys, il est crucial de fournir des instructions claires aux utilisateurs sur le processus. Les utilisateurs doivent être informés qu'un QR code sera affiché et qu'ils devront utiliser leur téléphone mobile pour le scanner.

À notre avis, il est important de s'assurer que les QR codes ne sont pas affichés si l'utilisateur ne dispose pas d'un passkey utilisable pour la CDA. De plus, il est nécessaire de vérifier que le système d'exploitation et le navigateur actuels de l'utilisateur prennent en charge la CDA avant d'afficher un QR code.

Want to find out how many people use passkeys?

View Adoption Data

Pour gérer efficacement ces scénarios, nous avons décrit tous les cas critiques dans cet article, nous n'entrerons donc pas dans les détails ici. Notre système d'intelligence de passkeys est conçu pour gérer automatiquement ces situations, en veillant à ce que les QR codes ne soient affichés que lorsque cela est approprié et en guidant les utilisateurs en douceur tout au long du processus d'authentification. Cela garantit une expérience transparente tout en maintenant une sécurité élevée et une compatibilité entre divers appareils et systèmes d'exploitation.

Dans cette section, nous allons résumer les deux principales méthodes de connexion par QR code abordées dans cet article : la connexion par QR code via les applications natives et la connexion par QR code via les passkeys. Chaque méthode offre des avantages uniques et est adaptée à différents cas d'utilisation en fonction de facteurs tels que la sécurité, l'expérience utilisateur et la complexité de la mise en œuvre.

• La connexion par QR code via les applications natives tire parti des liens profonds (deep linking) pour connecter un QR code à une application spécifique installée sur un appareil mobile. Lorsqu'un utilisateur scanne le QR code, l'application associée est déclenchée, facilitant un processus de connexion transparent et sécurisé. Cette méthode est couramment utilisée dans les applications de type « app-first » comme WhatsApp, TikTok et Revolut, où les utilisateurs sont familiers avec l'environnement de l'application et peuvent facilement s'authentifier sans avoir à saisir de mot de passe.
• La connexion par QR code via les passkeys utilise une approche d'authentification inter-appareils plus avancée qui s'intègre directement avec les authentificateurs de la plateforme du système d'exploitation (il n'est pas nécessaire d'installer une application native). Cette méthode est conçue pour fournir un haut niveau de sécurité, en utilisant des passkeys synchronisés et en exigeant que les deux appareils soient à proximité (vérifié via Bluetooth) pendant le processus d'authentification. Cette méthode offre une protection solide contre les attaques d'hameçonnage (phishing) et offre une expérience utilisateur simplifiée sur plusieurs appareils.

Voyons comment les deux méthodes se comparent et présentent des caractéristiques différentes :

Tableau comparatif : Connexion par QR code via les applications natives vs. Connexion par QR code via les passkeys

Nous nous sommes concentrés sur les caractéristiques liées à l'authentification dans le tableau comparatif, et les exigences environnantes décrites dans la section trois s'appliquent aux deux alternatives. Les restrictions basées sur la localisation et le temps ne sont pas nécessaires avec les passkeys, car ils utilisent la résistance à l'hameçonnage (phishing) et les vérifications de proximité via WebAuthn.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Comme indiqué dans l'introduction, nous avons examiné les deux scénarios les plus courants d'authentification inter-appareils. Résumons-les brièvement :

• La connexion par QR code via les applications natives est idéale pour les entreprises qui ont une forte base d'utilisateurs sur leurs applications natives, qui n'envisagent pas encore de mettre en œuvre les passkeys et qui ne sont pas trop préoccupées par les attaques d'hameçonnage (phishing). Cette méthode offre commodité et sécurité en utilisant les mécanismes d'authentification existants de l'application, réduisant ainsi les frictions pour les utilisateurs qui utilisent fréquemment l'application, mais n'aide pas pour les connexions peu fréquentes à l'application.
• La connexion par QR code via les passkeys offre une option plus sécurisée et flexible, en particulier pour les environnements où l'authentification inter-appareils est nécessaire et où les passkeys sont également envisagés ou déjà utilisés comme facteur d'authentification. En tirant parti de l'authentification au niveau de la plateforme et des vérifications de proximité basées sur Bluetooth, cette méthode apporte la seule méthode d'authentification multifacteur résistante à l'hameçonnage pérenne également aux cas inter-appareils.

Pour répondre à nos questions de l'introduction :

• En quoi les deux approches diffèrent-elles ? Chaque organisation devrait choisir la méthode qui correspond le mieux à ses besoins, en tenant compte de facteurs tels que la base d'utilisateurs, les exigences de sécurité et l'expérience utilisateur souhaitée. Pour les services centrés sur les applications, l'intégration de la connexion par QR code via les applications natives peut suffire. Cependant, pour ceux qui privilégient une sécurité maximale et des capacités inter-appareils, la connexion par QR code via les passkeys représente une solution robuste.

Indépendamment de l'évaluation actuelle de la solution qui s'intègre le mieux dans l'architecture d'authentification existante, il faut garder à l'esprit que les passkeys sont un investissement dans l'avenir de l'authentification, car l'écosystème évolue clairement dans cette direction. Commencer tôt à collecter des passkeys peut être combiné avec différentes stratégies de CDA.