Le futur protocole CXP pourrait enfin nous libérer des mots de passe. Enfin... presque.
Photo by Volodymyr Kondriianenko on Unsplash
Interview
🎙 Noé Mantel, de la société Specops
Qu’est-ce que le CXP et comment pourrait-il révolutionner l'authentification ?
Le CXP, ou Credential Exchange Protocol, est un standard en cours de développement qui vise à faciliter l'authentification sans mot de passe grâce aux passkeys. Les passkeys, ce sont des clés cryptographiques stockées localement, par exemple sur un smartphone ou un ordinateur, qui permettent de se connecter sans avoir à mémoriser de mot de passe. L’idée du CXP, c’est que ces passkeys puissent être utilisées de manière fluide sur tous les appareils et systèmes, qu’on soit sur Windows, iOS, Android, etc.
Concrètement, cela fonctionne comment ?
La passkey repose sur une technologie de signature cryptographique, ce qui la rend beaucoup plus sûre qu’un mot de passe. Contrairement à un mot de passe, une passkey reste stockée de manière sécurisée sur l’appareil et ne s’échange pas en clair sur internet, ce qui la protège contre le phishing ou le vol d'identifiants. On peut par exemple utiliser la reconnaissance faciale (comme le Face ID sur iPhone) pour vérifier son identité. Une fois configurée, la passkey permet d’accéder à un service en un seul geste, sans taper de code ni risquer de se faire pirater.
La fin des mots de passe est-elle vraiment pour bientôt ?
Pas tout à fait. Les mots de passe restent nécessaires en tant que solution de secours si jamais la passkey ne fonctionne pas, par exemple en cas de défaut technique. Tant que les passkeys ne seront pas infaillibles et que certaines institutions n'auront pas adopté ce système, les mots de passe continueront d'exister. On peut dire que les passkeys ouvrent une transition vers la fin des mots de passe, mais on n’y est pas encore.
Noé Mantel :
[0:01] L'idée du CXP, en fait, c'est de faciliter l'authentification sans mot de passe, à l'aide de PassKeys.
Monde Numérique :
[0:10] Bonjour Noé Mantel.
Noé Mantel :
[0:12] Bonjour Jérôme.
Monde Numérique :
[0:13] Vous êtes spécialiste produit chez SpecOps, qui est une société de cybersécurité spécialisée dans les mots de passe. Alors les mots de passe, c'est une espèce de mal nécessaire qu'on se traîne depuis des dizaines d'années, depuis que l'informatique existe, et même sans doute avant. Ça devient un vrai, vrai problème quand même aujourd'hui pour la majorité des gens. Il faut les retenir, il faut faire de bons mots de passe, suffisamment forts, etc. On annonce régulièrement la mort du mot de passe, la fin du mot de passe. On n'en est pas encore là, mais malgré tout, il se passe des choses. Et notamment, il y a quelque chose qui se prépare, qui pourrait être une avancée dans ce domaine qui s'appelle le CXP. Qu'est-ce que c'est exactement ?
Noé Mantel :
[0:52] Alors, en fait, on commence à parler de CXP. Le CXP, c'est un terme anglais qui signifie Credential Exchange Protocol. En fait, le CXP, c'est l'idée d'un standard en développement.
Noé Mantel :
[1:03] Il n'y a pas encore eu d'annonce officielle, c'est encore en développement. Mais l'idée du CXP, c'est de faciliter l'authentification sans mot de passe à l'aide de passkeys. Justement, vous parliez des mots de passe juste avant. C'est vrai que le problème des mots de passe, c'est qu'on a tendance à les oublier. donc l'idée du CXP justement ça va être de pouvoir se connecter sans mot de passe grâce à ce qu'on appelle des passkeys donc les passkeys c'est quoi ? c'est des clés cryptographiques qui vont nous permettre de se connecter sans connaître de mot de passe donc l'idée de la passkey ça va être d'améliorer l'expérience utilisateur c'est une clé qui est stockée sur la machine donc ça peut être un téléphone ou un ordinateur.
Monde Numérique :
[1:41] Mais il faut bien prouver à un moment ou à un autre qu'on est l'utilisateur légitime.
Noé Mantel :
[1:47] Tout à fait.
Monde Numérique :
[1:48] Donc, comment on fait ?
Noé Mantel :
[1:49] En amont, il y a effectivement une phase de configuration de la passquise où l'utilisateur va devoir, on va dire, s'inscrire. Donc, par exemple, je vous donne un exemple sur votre PC. On a la technologie qui s'appelle Windows Hello de Microsoft, qui est utilisée en entreprise. Donc, les utilisateurs peuvent s'authentifier grâce à leur visage. Donc, en fait, c'est la caméra du PC portable qui va détecter le visage. Donc, la personne s'est d'abord inscrite une première fois, elle a fait la configuration, la mise en place en scannant son visage. et après, à chaque connexion, elle a juste à montrer son visage pour se connecter et donc sans mot de passe.
Monde Numérique :
[2:21] Oui, ce qu'il fait aussi beaucoup dans le grand public sur smartphone.
Noé Mantel :
[2:25] Exactement, sur un iPhone avec le Face ID ou avec.
Monde Numérique :
[2:29] L'empreinte digitale également.
Noé Mantel :
[2:31] Également.
Monde Numérique :
[2:33] Ou encore avec même les petites clés USB de sécurisation, etc.
Noé Mantel :
[2:37] Tout à fait.
Monde Numérique :
[2:37] Tout ce qui évite de taper un mot de passe. C'est l'idée. Mais la PASKI, c'est ce qu'il y a derrière, c'est ce qu'on ne voit pas et c'est ce qui fait que ça marche et qu'on a le droit d'entrer en fait.
Noé Mantel :
[2:46] Exactement. C'est la technologie qui est utilisée derrière. Je ne vais pas rentrer dans les détails techniques, mais c'est une clé privée qui est stockée sur l'appareil.
Monde Numérique :
[2:55] D'accord. Alors ce CXP, ça changerait quoi ?
Noé Mantel :
[2:58] L'idée du CXP, c'est d'aller plus loin dans le développement des PASKIs pour faire en sorte qu'elles soient compatibles sur tous vos environnements. Que ce soit du Windows, du Mac, Android, iOS, l'idée de Depasky, c'est qu'on va pouvoir les utiliser vraiment sur tous les environnements, qu'il y ait une interopérabilité et que le transfert soit facilité. Je peux vous donner un exemple. Par exemple, aujourd'hui, vous êtes dans votre maison. Avant, admettons que pour entrer dans chaque pièce, pour ouvrir chaque porte, il faut un mot de passe différent pour entrer dans chaque pièce. L'idée du CXP, voilà, là c'est compliqué. L'idée du CXP, si vous voulez, c'est qu'en fait, vous n'aurez besoin que d'une seule clé pour accéder à toutes les pièces, peu importe où vous êtes. Et ces clés seraient uniques, elles seraient automatiquement que c'est vous, et on ne pourrait pas la voler, on ne pourrait pas la copier.
Monde Numérique :
[3:50] Ça veut dire est-ce qu'on peut comparer ça au fait que la maison par exemple ce serait le smartphone ou l'ordinateur et les pièces ce serait toutes les applications installées ?
Noé Mantel :
[4:01] Exactement des applications, des sites web Facebook, Twitter etc sur lesquels vous pourriez vous connecter avec votre passe-qu'in.
Monde Numérique :
[4:08] Ah oui, ce serait formidable ça, ce serait la fin des login passwords, enfin des identifiants mots de passe qu'il faut taper tous les quatre matins en fait.
Noé Mantel :
[4:16] C'est l'idée, voilà c'est ça serait une transition en tout cas vers une fin potentielle des mots de passe.
Monde Numérique :
[4:23] Mais donc, parce que c'est, encore une fois, c'est des choses que l'utilisateur ne voit pas forcément, c'est donc tout ce qui se passe derrière, en fait, derrière le rideau, ça veut dire que toutes les applications pourraient, communiquer entre elles et échanger cette PASKI ?
Noé Mantel :
[4:38] Exactement, voilà, c'est l'idée. L'idée, c'est que les applications, toutes les applications pourraient se synchroniser et seraient interconnectées, et donc pourraient récupérer automatiquement la PASKI de l'appareil. Grâce à ce protocole.
Monde Numérique :
[4:51] Et où en est-on du développement de ce CXP ?
Noé Mantel :
[4:55] C'est une très bonne question. Les dernières informations que j'ai eues de la Fido Alliance, pour l'instant, ça reste encore en cours. Mais pour l'instant, je suis désolé, je n'ai pas beaucoup plus d'informations. Après, je pourrais me renseigner et revenir vers vous.
Monde Numérique :
[5:11] Ce n'est pas encore fait, en tout cas.
Noé Mantel :
[5:12] Ce n'est pas encore fait.
Monde Numérique :
[5:14] Qui décide de ça ?
Noé Mantel :
[5:16] Alors, c'est essentiellement des organisations comme la Fido Alliance ou le W3C. Donc, c'est les organismes qui poussent les standards en termes d'authentification multifacteurs comme le MFA.
Monde Numérique :
[5:32] Donc, derrière, c'est toute l'industrie, c'est tous les spécialistes de la cybersécurité, en fait.
Noé Mantel :
[5:38] Voilà, c'est ça, exactement.
Monde Numérique :
[5:41] Et alors, les systèmes d'authentification via des appareils tiers, c'est-à-dire que ce qui se fait de plus en plus aujourd'hui, par exemple, je veux me connecter à mon compte bancaire sur mon ordinateur, on va me demander d'aller, je ne sais pas quoi, taper un code sur mon smartphone. C'est la double authentification. Est-ce qu'il y aurait des changements également à ce niveau-là ?
Noé Mantel :
[6:02] Tout à fait. C'est déjà d'ailleurs le cas, je ne sais pas, sur votre application bancaire. Par exemple, moi, c'est le cas sur la mienne. Quand je vais me connecter sur mes comptes, j'utilise juste mon visage pour me connecter. Donc, j'utilise déjà le Face ID d'Apple qui est en réalité une pasquille du coup.
Monde Numérique :
[6:15] Vous avez raison.
Noé Mantel :
[6:17] Donc, on l'a fait. Voilà. Alors, par contre, par moment, ils nous demandent quand même le code. Donc, ça peut arriver que pour une raison X ou Y, la caméra, par exemple, il y a une saleté sur la caméra. il n'arrive pas à voir mon visage, il y a un défaut matériel. Là, la solution de repli, ça reste quand même le mot de passe, le code dont il faut se rappeler.
Monde Numérique :
[6:36] Ce qui veut dire que ce ne serait pas vraiment la disparition des mots de passe. En fait, les mots de passe ne sont pas prêts de disparaître. On en a toujours besoin comme système de sécurité. C'est la roue de secours dans le coffre de la voiture.
Noé Mantel :
[6:48] Tout à fait. Ça reste la solution de repli dans le cas où la PASKIN ne puisse pas fonctionner. Tout à fait.
Monde Numérique :
[6:54] Bon, ça, ce n'est pas franchement une bonne nouvelle. Alors, ça veut dire qu'on est pieds et poing liés à ces fichus mots de passe jusqu'à la fin des temps.
Noé Mantel :
[7:02] Jusqu'au jour où les passes qui seront parfaites et qu'il n'y aurait plus de défaillance possible. Après, à voir si le risque de défaillance est très, très limité et qu'on n'a plus besoin d'utiliser les mots de passe. Peut-être une fois de temps en temps, ça, ça commencera à être la fin des mots de passe. Mais effectivement, on n'y est pas encore. alors.
Monde Numérique :
[7:20] Bien sûr la question qu'on se pose c'est est-ce que ce serait aussi sécurisé que les systèmes actuels.
Noé Mantel :
[7:27] En fait l'idée donc encore une fois le CXP qui est lié aux passkeys, l'idée c'est qu'on va avoir une sécurité qui sera augmentée, qui sera améliorée par rapport aux mots de passe parce que par exemple les mots de passe peuvent être interceptés, peuvent être volés alors que les passkeys elles n'exposent jamais les informations d'identification, puisqu'on est sur une connexion avec une signature cryptographique,
Noé Mantel :
[7:49] On ne va jamais divulguer, si vous voulez, cette information comme sur un mot de passe. Un mot de passe, on pourrait le noter quelque part, on peut l'échanger, on peut l'envoyer. La passe qui, elle, elle reste en local sur l'appareil, c'est une clé privée. Donc, de ce point de vue-là, ça sera beaucoup plus sécurisé, ça sera résistant au phishing ou à ce type d'attaque.
Monde Numérique :
[8:07] Quelquefois, on a malgré tout besoin de transmettre un mot de passe ? Et pas pour de mauvaises raisons, mais pour la vie quotidienne. Donc, comment est-ce qu'on peut faire si demain, il n'y a plus de mot de passe ?
Noé Mantel :
[8:21] Eh bien, si vous voulez, justement, c'est l'idée du CXP, c'est qu'on pourra faire ces transferts de passkey sans communiquer un mot de passe. Donc, par exemple, je ne sais pas, demain, je change de téléphone ou je perds mon téléphone. L'idée, c'est que ça sera synchronisé sur mon compte Apple. et donc mon nouveau téléphone récupérera automatiquement la passe key. Donc c'est une manière de transférer la passe key de manière sécurisée, ce qu'on ne peut pas faire avec un mot de passe, puisque visiblement aujourd'hui le mot de passe...
Monde Numérique :
[8:51] Mais est-ce qu'on pourra par exemple partager, je ne sais pas quoi, le mot de passe Netflix avec les autres membres de sa famille, etc.
Noé Mantel :
[8:58] ? Ça c'est une très bonne question. J'avoue que ça c'est une très bonne question.
Monde Numérique :
[9:02] Vous êtes plutôt sur les applis d'entreprise, pas tellement sur les trucs de vidéos.
Noé Mantel :
[9:05] C'est vrai que sur des applications comme Netflix, ça sera plus embêtant puisque pour moi la pasquette est personnelle donc à partir du moment où on parle de quelque chose qu'on va partager avec sa famille ou quoi c'est moins évident.
Monde Numérique :
[9:20] Donc il reste encore quelques points à creuser quand même est-ce que c'est la fin des gestionnaires de mots de passe ces petits logiciels tellement pratiques que vraiment il faut continuer à utiliser tant qu'on a des mots de passe est-ce que ça veut dire que demain on n'en aura plus besoin.
Noé Mantel :
[9:34] Encore une fois je pense que pour l'instant on aura encore besoin des gestionnaires de mots de passe puisque visiblement aujourd'hui on aura encore besoin des mots de passe, des passquises ça commence à arriver mais on voit encore dans plein de milieux par exemple dans les entreprises du public, les hôpitaux des mairies qui sont encore beaucoup sur les mots de passe donc il y a besoin de gestionnaire des mots de passe tant qu'il y aura des mots de passe après demain ce sera peut-être des gestionnaires de passquises.
Monde Numérique :
[9:59] Et bien écoutez c'est ce qu'on souhaite merci Noé Mantel de la sous-question Pick up some...