Les passkeys peuvent-elles être piratées ?
Vincent
Created: June 3, 2025
Updated: June 13, 2025
Les passkeys peuvent-elles être piratées ?#
Les passkeys, par conception, sont significativement plus sécurisées que les mots de passe traditionnels et sont beaucoup plus difficiles à pirater en raison de leur nature cryptographique. Cependant, comme toute technologie, elles ne sont pas entièrement à l'abri de certaines vulnérabilités.
- Les passkeys sont plus sécurisées que les mots de passe grâce à leur base cryptographique.
- Les passkeys éliminent les risques associés aux attaques de phishing, man-in-the-middle, brute-force, replay et credential stuffing.
Comprendre la sécurité des passkeys#
Les passkeys sont construites sur la norme WebAuthn et utilisent la cryptographie à clé publique pour authentifier les utilisateurs sans recourir aux mots de passe traditionnels. Cela les rend intrinsèquement plus sécurisées contre les menaces courantes telles que le phishing, le credential stuffing et les attaques par force brute. Voici pourquoi les passkeys sont considérées comme sécurisées :
-
Infrastructure à clé publique : Les passkeys utilisent une paire de clés publique-privée, où la clé privée ne quitte jamais l'appareil de l'utilisateur, ce qui rend son interception par des attaquants presque impossible.
-
Élimination des mots de passe : Étant donné que les passkeys ne reposent pas sur des secrets partagés (comme les mots de passe), elles éliminent le risque de réutilisation des identifiants, une vulnérabilité courante dans les systèmes basés sur les mots de passe.
-
Protection contre le phishing : Les attaques de phishing sont inefficaces contre les passkeys car une passkey est toujours liée à l'origine (ID de la relying party) pour laquelle elle a été créée.
-
Pas de credential stuffing : Les passkeys sont uniques pour chaque service et seule la clé publique est stockée côté serveur. Cela signifie qu'en cas de violation d'une relying party, cela n'a aucun impact sur les autres relying parties.
-
Pas d'attaques par force brute : Les passkeys reposent sur la cryptographie asymétrique et ne peuvent pas être devinées, ce qui les rend immunisées contre les attaques par force brute.
-
Pas d'attaques Man-in-the-Middle : Les attaques Man-in-the-Middle ne sont pas réalisables avec les passkeys car la clé privée utilisée pour l'authentification ne quitte jamais l'appareil de l'utilisateur, garantissant qu'aucune information sensible n'est transmise qui pourrait être interceptée ou altérée.
-
Pas d'attaques Replay : Les attaques Replay ne sont pas possibles avec les passkeys car chaque session d'authentification génère un challenge cryptographique unique et à usage unique qui ne peut pas être réutilisé ou répliqué par un attaquant.
Cependant, bien que les passkeys offrent une sécurité supérieure, elles ne sont pas entièrement à l'abri du piratage :
-
Attaques de la chaîne d'approvisionnement (Supply Chain Attacks) : Un appareil compromis au niveau du fabricant pourrait potentiellement être altéré pour divulguer des clés cryptographiques.
-
Ingénierie sociale (Social Engineering) : Bien que le phishing soit moins efficace, les attaquants pourraient toujours utiliser des techniques d'ingénierie sociale pour inciter les utilisateurs à créer des passkeys pour des sites web malveillants.
-
Vol de session (Session Theft) : Les passkeys rendent la partie authentification sécurisée et simple pour les utilisateurs. Cependant, selon l'implémentation de la relying party, la session pourrait toujours être volée et utilisée à des fins malveillantes.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Share this article
