Des avertissements récents de la FIDO Alliance et de Yubico ont mis en lumière l’insécurité d’implémenter des passkeys synchronisées dans des environnements organisationnels. Bien que ces identifiants offrent du confort à l’utilisateur grâce à la synchronisation via des services cloud comme iCloud ou Google Cloud, ils élargissent considérablement la surface d’attaque, augmentant la vulnérabilité face à des attaques de type homme du milieu et aux techniques de phishing.
Passkeys : l’arme à double tranchant
Les chercheurs ont démontré que les environnements de navigateur compromis peuvent manipuler les enregistrements et les accès de WebAuthn, sans compromettre la cryptographie des passkeys. Cela se fait par le biais d’extensions malveillantes ou en exploitant des vulnérabilités existantes, permettant aux attaquants d’exécuter des actions telles que l’injection de code ou le détournement de processus d’authentification. La sécurité de l’implémentation est compromise, en particulier lorsque les utilisateurs sont incités à choisir des méthodes d’authentification plus faibles, comme le SMS ou l’OTP, par un proxy malveillant qui intercepte la communication.
En contraste, les passkeys liées aux dispositifs, qui nécessitent généralement des composants matériels sécurisés pour leur génération et leur utilisation, offrent un contrôle plus robuste sur les signaux du dispositif et la gestion du cycle de vie. Cette approche améliore non seulement la sécurité, mais permet également aux organisations de réaliser des audits plus efficaces sur leurs systèmes d’authentification.
Par conséquent, tant la FIDO Alliance que Yubico recommandent aux entreprises de reconsidérer la mise en œuvre de passkeys synchronisées, en optant plutôt pour des solutions liées à des dispositifs afin d’assurer une protection accrue. La facilité offerte par les passkeys synchronisées ne devrait pas compromettre l’intégrité de la sécurité d’accès dans les environnements professionnels.