Fournisseurs de clés d'accès : types, AAGUID et adoption

Aide-mémoire Passkeys. Conseils pratiques, modèles de déploiement et KPIs pour les programmes passkeys.

Obtenir l'aide-mémoire

Lorsque l'on utilise des clés d'accès ou que l'on travaille dans le domaine de l'implémentation des clés d'accès, un composant devient particulièrement important : le fournisseur de clés d'accès. Pourtant, même s'il s'agit d'une partie cruciale de l'écosystème des clés d'accès, de nombreuses personnes n'ont qu'une compréhension vague des fournisseurs de clés d'accès ou ne connaissent pas la différence entre un fournisseur de clés d'accès natif, un fournisseur de clés d'accès tiers et un fournisseur d'authentification par clés d'accès.

Obtenez une évaluation passkey gratuite en 15 minutes.

Réserver une consultation gratuite

Cet article vise à faire la lumière sur ce sujet. Que vous soyez développeur, chef de produit ou simplement curieux des dernières avancées en sécurité web, comprendre le rôle et les types de fournisseurs de clés d'accès est essentiel. En démystifiant ce sujet, nous cherchons à donner aux lecteurs les connaissances nécessaires pour appréhender les clés d'accès en toute confiance.

Un fournisseur de clés d'accès joue un rôle fondamental dans l'écosystème de l'authentification par clés d'accès, en faisant le pont entre les appareils des utilisateurs et l'accès sécurisé et fluide aux parties de confiance (services en ligne). Mais qu'est-ce qu'un fournisseur de clés d'accès exactement, d'autant qu'il n'existe pas de définition officielle et que l'on trouve différentes interprétations en ligne ?

La définition suivante reflète notre compréhension et nous ne prétendons pas qu'elle soit la seule exacte.

Un fournisseur de clés d'accès est essentiellement toute entité permettant la création, la gestion et l'utilisation de clés d'accès. Grâce à nos recherches, nous avons identifié deux catégories principales sous lesquelles les fournisseurs de clés d'accès peuvent être classés : les fournisseurs de clés d'accès natifs et tiers, et les fournisseurs d'authentification par clés d'accès.

Cette catégorie comprend les entités capables de générer une clé d'accès côté client (sur l'appareil de l'utilisateur). Lorsqu'une clé d'accès est créée via ces plateformes, elle est gérée et stockée en toute sécurité, souvent dans le cloud d'un fabricant de système d'exploitation (par exemple, iCloud Keychain, Google Password Manager) ou dans un gestionnaire de mots de passe tiers (par exemple, KeePassXC, 1Password, Dashlane ; voir plus bas).

Les systèmes d'exploitation qui permettent la création de clés d'accès et leur gestion de manière native sont considérés comme des fournisseurs de clés d'accès natifs. En revanche, les gestionnaires de mots de passe tiers qui s'intègrent à la plateforme via des API sont appelés fournisseurs de clés d'accès tiers.

Un fournisseur de clés d'accès natif ou tiers dispose des mêmes identifiants globaux uniques d'attestation d'authentificateur (Authenticator Attestation Globally Unique Identifiers — AAGUID), qui contribuent à améliorer l'expérience utilisateur (par exemple, dans les paramètres du compte pour distinguer plus facilement les clés d'accès). Parfois, ils peuvent disposer de plusieurs AAGUID, qui appartiennent tous au même fournisseur de clés d'accès natif ou tiers.

Fournisseurs de clés d'accès sur un appareil iOS 17.4

Fournisseurs de clés d'accès sur un appareil Android 14

API Credential Manager d'Android

La deuxième catégorie englobe les fournisseurs d'authentification que les développeurs peuvent intégrer dans leurs applications pour gérer tous les aspects de la gestion des clés d'accès. Il s'agit donc de fournisseurs opérant davantage côté serveur (par opposition au côté client évoqué ci-dessus). Cette définition inclut également des solutions comme Corbado, qui proposent des solutions d'authentification centrées sur les clés d'accès aux sites web et aux applications. Par conséquent, ces fournisseurs de clés d'accès devraient être plus précisément décrits comme des fournisseurs d'authentification par clés d'accès, les différenciant des fournisseurs natifs et des fournisseurs de clés d'accès tiers mentionnés ci-dessus.

Dans les sections suivantes de cet article, nous utiliserons le terme « fournisseurs de clés d'accès » pour désigner les fournisseurs natifs et les fournisseurs de clés d'accès tiers, conformément à notre définition.

Au fur et à mesure que les utilisateurs adoptent les clés d'accès pour diverses parties de confiance, leur gestion efficace devient un défi majeur. Cela vaut également pour les utilisateurs qui utilisent plusieurs clés d'accès pour un seul compte, car différencier ces clés d'accès à des fins d'édition ou de suppression peut s'avérer complexe pour une partie de confiance. Malgré la commodité et la sécurité offertes par les clés d'accès, un problème potentiel survient si un utilisateur perd l'une de ses clés d'accès. Heureusement, il peut toujours accéder à son compte sur la partie de confiance en utilisant des clés d'accès alternatives. Pour aider les utilisateurs à identifier des clés d'accès spécifiques, certaines ressources suggèrent d'ajouter des métadonnées, telles que les dates de création et de dernière utilisation, à une clé d'accès dans les paramètres du compte. De plus, il est recommandé d'utiliser des user agents ou des client hints pour nommer et catégoriser automatiquement les clés d'accès lors de leur création. Cependant, les applications natives Android ou iOS, ainsi que les fournisseurs de clés d'accès tiers, peuvent ne pas utiliser de user agents, ou n'ajoutent pas d'informations indiquant qu'une clé d'accès a été générée par un fournisseur tiers. Cette limitation souligne la nécessité de méthodes améliorées pour aider les utilisateurs à gérer leurs clés d'accès efficacement, quelle que soit la plateforme ou le fournisseur.

Extrait de la spécification WebAuthn du W3C

Pour faciliter cette gestion des clés d'accès, les développeurs peuvent utiliser l'Authenticator Attestation Globally Unique Identifier (AAGUID). L'AAGUID est un identifiant unique assigné au modèle de l'authentificateur, et non à une instance spécifique. Il est intégré dans les données d'authentification de l'identifiant de clé publique, offrant aux parties de confiance un moyen d'identifier le fournisseur de clés d'accès. Cette capacité est cruciale pour aider les utilisateurs et les parties de confiance à naviguer dans l'écosystème des clés d'accès, en veillant à ce que chaque clé d'accès puisse être associée avec précision à sa source de création.

Par exemple, si une clé d'accès est créée avec Google Password Manager sur un appareil Android, la partie de confiance peut recevoir un AAGUID spécifique à Google Password Manager. En se référant à cet AAGUID, la partie de confiance peut alors marquer la clé d'accès en conséquence, simplifiant la gestion et l'identification pour l'utilisateur. De plus, les parties de confiance peuvent empêcher la création de plusieurs clés d'accès pour le même fournisseur en utilisant l'option serveur WebAuthn excludeCredentials. Cela améliore encore l'expérience utilisateur des clés d'accès, car chaque fournisseur n'aura qu'une seule clé d'accès, évitant ainsi la confusion.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

Pour déterminer le fournisseur de clés d'accès à l'aide d'un AAGUID, les parties de confiance peuvent consulter un référentiel communautaire d'AAGUID. Ce référentiel fournit les mappages nécessaires pour identifier le fournisseur de clés d'accès par son nom et, potentiellement, par son icône, permettant d'offrir une interface utilisateur plus intuitive pour la gestion des clés d'accès. Il est toutefois important de noter que certains fournisseurs peuvent utiliser intentionnellement un AAGUID générique (« 00000000-0000-0000-0000-0000000000000 »), représentant un fournisseur inconnu ou générique.

Récupérer l'AAGUID est simple avec la plupart des bibliothèques WebAuthn. Par exemple, lors de l'utilisation de SimpleWebAuthn côté serveur, les développeurs peuvent extraire l'AAGUID des informations d'enregistrement pour le faire correspondre à un fournisseur connu, améliorant ainsi la capacité de l'utilisateur à gérer ses clés d'accès plus facilement (extrait de l'article de Google « Determine the passkey provider with AAGUID »).

// Importer une liste d'AAGUID depuis un fichier JSON
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Utiliser la fonction pratique de SimpleWebAuthn pour vérifier la demande d'enregistrement.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Inconnu";

Bien que les AAGUID offrent un outil puissant pour la gestion des clés d'accès, ils doivent être utilisés avec prudence. L'intégrité d'un AAGUID dépend du processus d'attestation, qui valide l'authenticité du fournisseur de clés d'accès. Sans une signature d'attestation valide, les AAGUID pourraient potentiellement être manipulés. En mars 2024, il est à noter que les clés d'accès sur certaines plateformes ne prennent pas en charge l'attestation, ce qui souligne la nécessité d'une réflexion attentive quant à leur utilisation.

Vous trouverez ci-dessous une liste non exhaustive de fournisseurs de clés d'accès natifs et tiers pour les applications Android, les applications iOS et les applications web utilisant des versions de systèmes d'exploitation et des navigateurs très courants :

Vous trouverez ci-dessous des fenêtres contextuelles de certains fournisseurs de clés d'accès tiers pour créer / enregistrer une clé d'accès :

Voir l'analyse complète de 1Password ici.

Voir l'analyse complète de Dashlane ici.

Voir l'analyse complète de KeePassXC ici.

Au cœur du déploiement et de la gestion des clés d'accès se trouve le rôle des fournisseurs de clés d'accès, des entités qui facilitent non seulement la création et la gestion des clés d'accès, mais assurent également leur intégration fluide sur diverses plateformes et appareils.

Comprendre ce qu'est un fournisseur de clés d'accès, y compris la distinction entre les fournisseurs natifs et tiers, ainsi que le rôle crucial de l'Authenticator Attestation Globally Unique Identifier (AAGUID), était l'objectif de cet article. L'utilisation des AAGUID, comme nous l'avons abordé, offre une solution prometteuse permettant une identification et une gestion plus simples des clés d'accès.

Par ailleurs, nous avons analysé quels fournisseurs de clés d'accès natifs et tiers existent actuellement pour Android, iOS et Windows, aidant ainsi les utilisateurs à trouver un fournisseur tiers adapté ou un fournisseur pour l'appareil de leur choix.

Pour les développeurs et les chefs de produit, ces connaissances sur les fournisseurs de clés d'accès et leur gestion guident non seulement l'implémentation technique de l'authentification par clés d'accès, mais s'inscrivent également dans l'objectif plus large d'améliorer l'expérience utilisateur et la sécurité.

À propos de Corbado

Corbado est la Passkey Intelligence Platform pour les équipes CIAM qui gèrent l'authentification client à grande échelle. Nous vous montrons ce que les logs IDP et les outils d'analytics génériques ne voient pas : quels appareils, versions d'OS, navigateurs et gestionnaires de credentials prennent en charge les passkeys, pourquoi les enrôlements ne deviennent pas des connexions, où le flux WebAuthn échoue et quand une mise à jour OS ou navigateur casse silencieusement la connexion — le tout sans remplacer Okta, Auth0, Ping, Cognito ni votre IDP interne. Deux produits : Corbado Observe ajoute l'observabilité pour les passkeys et toute autre méthode de connexion. Corbado Connect apporte des passkeys managés avec analytics intégrés (aux côtés de votre IDP). VicRoads gère les passkeys pour plus de 5M d'utilisateurs avec Corbado (+80 % d'activation passkey). Parler à un expert Passkey →