Dépannage des passkeys : solutions aux problèmes et erreurs

Les passkeys sont en passe de devenir la norme pour une authentification utilisateur sécurisée et transparente. Des géants de la technologie comme Amazon, WhatsApp, Coinbase et TikTok ont déjà adopté cette technologie, et d'autres comme Facebook, LinkedIn et X/Twitter suivront bientôt. Cependant, comme pour toute technologie émergente, certains concepts d'UI/UX, comme les messages d'erreur, sont encore nouveaux pour les utilisateurs finaux. Les utilisateurs rencontrent souvent des problèmes avec les passkeys, tels que « il n'y a pas de passkeys correspondants » ou « les passkeys ne fonctionnent pas ». De plus, de nombreuses parties de confiance (relying parties) définissent leurs propres messages d'erreur, car il n'existe pas encore beaucoup de bonnes pratiques établies (à l'exception des directives UIX de l'alliance FIDO). Dans certains cas, si un service signale qu'« il n'y a aucun passkey sur cet appareil », il peut être nécessaire de vérifier les paramètres de votre appareil, car les solutions de passkeys modernes visent à éliminer cette confusion.

Les passkeys représentent un changement de paradigme dans l'authentification, déplaçant l'authentification en général du backend vers le frontend, car les passkeys interagissent via les API du système d'exploitation avec l'enclave sécurisée, le TPM ou le TEE d'un appareil.

Par conséquent, une communication efficace avec l'utilisateur et une bonne gestion des erreurs deviennent importantes. Les utilisateurs, habitués aux méthodes d'authentification traditionnelles, font maintenant face à une courbe d'apprentissage avec les passkeys. Nous avons observé des erreurs fréquentes de passkeys et beaucoup de confusion à travers nos interactions sur des plateformes comme X (anciennement Twitter) et Reddit. Notre objectif avec cet article est d'aider davantage d'utilisateurs confrontés à ces problèmes de passkeys. Nous analyserons les problèmes courants des passkeys et proposerons des solutions pratiques, améliorant ainsi l'expérience utilisateur et la confiance dans les passkeys. Si jamais vous constatez qu'un « passkey Google ne fonctionne pas » sur votre appareil, pensez à vérifier les mises à jour de votre navigateur ou de votre système.

Les passkeys représentent une avancée considérable dans l'authentification sans mot de passe, utilisant l'API WebAuthn, et sont soutenus par l'Alliance FIDO et le World Wide Web Consortium (W3C). De plus, les passkeys reposent sur les principes de la cryptographie à clé publique.

Imaginez créer un compte où votre appareil génère de manière autonome une paire unique de clés publique et privée. Ces clés sont liées, un peu comme une clé sur mesure conçue pour une serrure spécifique. Pour une authentification réussie, les deux éléments sont essentiels.

La partie fascinante ? La clé publique est le seul composant partagé avec un site web ou une application (la partie de confiance ou relying party). La clé privée, quant à elle, reste stockée en toute sécurité sur votre appareil.

Le processus d'authentification est très convivial. Lorsque vous essayez de vous connecter, le site web ou l'application envoie un défi. C'est là que vous intervenez : en utilisant les données biométriques ou le code PIN de votre appareil (par exemple via Face ID, Touch ID ou Windows Hello), vous déverrouillez votre clé privée. Votre appareil utilise alors cette clé pour signer le défi, renvoyant cette signature pour vérification. Le site web ou l'application, disposant de la clé publique, confirme l'authenticité de cette signature.

Ce qui rend ce processus vraiment transparent, c'est sa rapidité et sa clarté. Du point de vue de l'utilisateur, vous ne faites que vérifier votre identité via Face ID. Pendant ce temps, en coulisses, ce mécanisme sophistiqué valide efficacement vos informations d'identification, vous donnant accès à votre compte.

Trousseau iCloud activé :

Pour les utilisateurs d'appareils Apple utilisant Safari, le Trousseau iCloud doit être activé pour utiliser les passkeys. C'est essentiel pour le partage et la synchronisation des mots de passe entre les appareils. Pour configurer le Trousseau iCloud, accédez aux réglages de votre appareil, sélectionnez votre identifiant Apple, allez dans iCloud, puis activez le Trousseau iCloud (en savoir plus ici). Sur les comptes iCloud où le Trousseau est activé, Apple impose que le compte iCloud sous-jacent soit protégé par MFA.

iOS 16 ou macOS Ventura requis :

Les passkeys sont pris en charge sur les appareils fonctionnant sous iOS 16 ou une version ultérieure, ou macOS Ventura ou une version ultérieure. Ces systèmes d'exploitation plus récents incluent des fonctionnalités de sécurité améliorées nécessaires à la fonctionnalité des passkeys. Les utilisateurs doivent s'assurer que leurs appareils sont mis à jour vers ces versions ou des versions supérieures (en savoir plus ici).

Configuration de Windows Hello :

Sur les appareils Windows 10+, Windows Hello doit être configuré pour utiliser les passkeys (voir ici pour plus de détails sur la prise en charge des passkeys par les différentes versions de Windows). Windows Hello est une technologie biométrique qui permet aux utilisateurs d'authentifier un accès sécurisé à leurs appareils et applications à l'aide d'une empreinte digitale, de la reconnaissance faciale ou d'un code PIN. Pour configurer Windows Hello, allez dans Paramètres, puis Comptes, et sous Options de connexion, suivez les instructions pour configurer Windows Hello (en savoir plus ici).

Android version 9 ou ultérieure :

La prise en charge des passkeys nécessite au moins Android 9. En effet, les versions plus récentes d'Android ont une meilleure intégration avec les fonctionnalités de sécurité comme la biométrie et le stockage matériel sécurisé, qui sont cruciaux pour les passkeys.

Services Google Play à jour :

Assurez-vous que les services Google Play sont à jour, car ils jouent un rôle essentiel dans la gestion de la sécurité et des processus d'authentification sur les appareils Android. Si vous rencontrez des problèmes où un « passkey Google ne fonctionne pas » correctement sur votre Android, vérifier les mises à jour et les configurations dans les services Google Play peut résoudre le problème.

De plus, sur toutes les plateformes, assurez-vous que le navigateur web utilisé est mis à jour vers la dernière version. Les navigateurs comme Safari, Chrome et Edge publient souvent des mises à jour qui améliorent les fonctionnalités de sécurité, y compris la prise en charge des passkeys.

La liste suivante contient des erreurs typiques liées aux passkeys. En plus de fournir la cause de l'erreur, une solution potentielle qui a fonctionné pour d'autres est proposée :

• Cause : Cette erreur se produit lorsque le Trousseau iCloud, requis pour stocker les passkeys sur les appareils Apple, n'est pas activé.
• Solution : Activez le Trousseau iCloud en allant dans le volet Identifiant Apple des Réglages Système. Assurez-vous qu'il est correctement configuré pour synchroniser les passkeys sur tous vos appareils.

• Cause : Cette erreur se produit généralement lorsqu'un utilisateur tente d'accéder à un service à l'aide d'un passkey qui n'est pas stocké dans son Trousseau iCloud ou qui n'est pas synchronisé sur ses appareils.
• Solution : Assurez-vous que le Trousseau iCloud est activé et correctement synchronisé sur tous les appareils. Vérifiez si le passkey pour le service spécifique est bien enregistré dans le Trousseau iCloud. Si vous voyez le message détaillé indiquant qu'« il n'y a pas de passkeys correspondants enregistrés dans votre Trousseau iCloud », assurez-vous de réactiver la synchronisation sur tous les appareils.

• Cause : Aucun passkey n'est trouvé sur l'appareil actuel et le serveur WebAuthn n'autorise aucune authentification par passkey multiplateforme. Ce message d'erreur renforce le fait qu'« aucun passkey n'est disponible » si le système d'authentification ne peut en détecter un, et il peut afficher une invite telle que « il n'y a aucun passkey sur cet appareil ».
• Solution : Vérifiez si un passkey existe sur votre appareil. Si vous avez supprimé le passkey localement ou côté client (par exemple dans les paramètres de votre Trousseau iCloud ou du Gestionnaire de mots de passe Google), vous devez également supprimer le passkey côté serveur dans les paramètres de compte de votre partie de confiance (relying party), afin que le système ne s'attende plus à sa présence.

• Cause : Ce message apparaît lorsqu'on tente d'enregistrer un nouveau passkey sur un appareil qui en possède déjà un pour le même compte. Certaines parties de confiance limitent les utilisateurs à un seul passkey par appareil (ou écosystème, par exemple un Trousseau iCloud synchronisé ou 1Password) et par compte. Habituellement, ce paramètre est défini dans la propriété du serveur WebAuthn excludeCredentials.
• Solution : Vérifiez les paramètres de votre appareil pour voir si un passkey existe déjà et utilisez-le, ou essayez d'ajouter un nouveau passkey depuis un autre appareil. Alternativement, entrez dans les paramètres du compte de la partie de confiance (relying party), supprimez le passkey existant pour cet appareil et ce compte, puis essayez d'en créer un nouveau.

• Cause : Un passkey est lié à un compte et à une plateforme spécifiques (par exemple, l'appareil ou un compte de plateforme synchronisé dans le cloud comme le Trousseau iCloud). Si vous voyez un code QR en essayant de vous connecter avec un passkey, cela signifie que vous n'avez pas encore de passkey sur l'appareil/la plateforme que vous utilisez actuellement (mais que vous en avez peut-être configuré un sur votre smartphone iOS ou Android auparavant). Une autre cause est que le serveur limite les passkeys autorisés (via la propriété du serveur WebAuthn AllowCredentials) et que ces passkeys ne sont pas disponibles sur votre appareil.
• Solution : Si l'appareil sur lequel vous avez précédemment créé un passkey dispose d'une caméra, vous pourrez peut-être scanner le code QR pour vous connecter en utilisant ce passkey existant (c'est ce qu'on appelle l'authentification par passkey multiplateforme). Si l'option est proposée, vous devriez pouvoir utiliser une autre méthode d'authentification pour vous connecter. Une fois connecté, vous pourrez alors configurer un passkey supplémentaire pour le nouvel appareil que vous utilisez dans les paramètres de compte de la partie de confiance.

• Cause : Cette invite apparaît lorsqu'une clé de sécurité matérielle (par exemple, YubiKey) est requise pour l'authentification, possiblement en raison de l'absence d'un TPM ou de la désactivation de Windows Hello. Une autre cause est que vous êtes sur un appareil sans capacités Bluetooth (par exemple, un ordinateur de bureau plus ancien) et qu'aucun passkey approprié n'est présent sur l'appareil.
• Solution : Insérez la clé de sécurité matérielle (par exemple, YubiKey) dans le port USB. Alternativement, activez Windows Hello si vous souhaitez vous authentifier sans la clé de sécurité matérielle (un passkey avec Windows Hello doit avoir été créé au préalable).

• Cause : Cette erreur se produit souvent lorsque l'appareil Android qui est censé utiliser le passkey n'a pas la fonction de verrouillage d'écran activée. La présence d'un verrouillage d'écran est une condition préalable à l'utilisation des passkeys sur Android pour des raisons de sécurité.
• Solution : Pour résoudre ce problème, activez la fonction de verrouillage d'écran sur votre appareil Android. Cela peut généralement être fait via les paramètres de sécurité de l'appareil. Une fois le verrouillage d'écran activé, essayez à nouveau d'utiliser le passkey.

• Cause : Cette erreur peut survenir pour plusieurs raisons, comme un bug dans l'application ou le logiciel que vous utilisez, un problème de serveur temporaire ou des paramètres d'appareil incompatibles.
• Solution : Redémarrez l'application ou l'appareil et essayez de générer à nouveau le passkey. Si le problème persiste, vérifiez s'il existe des mises à jour disponibles pour l'application ou le système d'exploitation de votre appareil. S'il s'agit d'un problème côté serveur, vous devrez peut-être attendre et réessayer plus tard.

• Cause : De nombreux messages d'erreur comme celui-ci se produisent si un passkey a été supprimé manuellement, que ce soit côté client ou côté serveur. Même si votre clé privée locale demeure, sans la clé publique correspondante sur le serveur, l'erreur mentionnant « nous n'avons pas trouvé de passkey correspondant » est déclenchée.
• Solution : Essayez d'accéder à votre compte soit depuis un autre appareil, soit en utilisant une autre méthode de connexion que vous auriez pu configurer précédemment. Vous pourrez alors généralement créer un nouveau passkey dans les paramètres du compte.

• Cause : Il s'agit d'une erreur généralement indiquée par PayPal ou des plateformes similaires, suggérant que l'appareil ou le navigateur utilisé ne prend pas en charge ou n'a pas la fonctionnalité pour créer ou utiliser des passkeys.
• Solution : Assurez-vous que votre appareil et votre navigateur sont à jour. Si l'appareil ou le navigateur ne prend intrinsèquement pas en charge les passkeys, envisagez de passer à un appareil ou un navigateur compatible.

• Cause : Cela pourrait être dû à une saisie incorrecte du passkey, à des problèmes de communication temporaires entre le serveur et votre appareil, ou à un dysfonctionnement du processus d'authentification.
• Solution : Vérifiez à nouveau le passkey que vous utilisez. S'il est correct, réessayez après un court instant. Si le problème persiste, vérifiez votre connexion Internet ou envisagez de réinitialiser votre passkey si possible.

• Cause : Cette erreur se produit généralement lorsque le serveur met trop de temps à répondre, possiblement en raison de problèmes de connectivité réseau ou d'une charge élevée du serveur.
• Solution : Vérifiez votre connexion Internet pour vous assurer d'avoir un signal stable et fort. Si la connexion est bonne, le problème pourrait être du côté du serveur, auquel cas vous devriez réessayer plus tard lorsque le serveur sera moins occupé.

Les passkeys ouvrent la voie à un paysage numérique plus sécurisé et convivial. En exploitant la puissance de la cryptographie à clé publique, ils éliminent les vulnérabilités des mots de passe traditionnels, offrant une expérience d'authentification robuste et transparente. À mesure que nous avançons, comprendre et dépanner les erreurs courantes des passkeys devient crucial. Cette connaissance non seulement renforce la confiance des utilisateurs, mais favorise également une adoption plus large. Si vous souhaitez rester à jour sur toutes les actualités concernant les passkeys (y compris la gestion des erreurs et le dépannage des passkeys), rejoignez notre communauté passkeys sur Slack ou abonnez-vous à notre Substack sur les passkeys.