En Bref

• Les passkeys synchronisées stockent les identifiants de connexion dans le cloud pour une utilisation pratique sur plusieurs appareils.
• Les attaquants ciblent les comptes cloud et les processus de récupération pour détourner ces identifiants synchronisés.
• Des extensions de navigateur malveillantes et des attaques de phishing peuvent contourner ou dégrader une authentification forte.
• Les passkeys liées à un appareil et stockées dans des clés de sécurité matérielles sont bien plus sûres pour l’entreprise.
• Les principaux experts en sécurité préviennent : votre méthode d’authentification la plus faible définit réellement votre niveau de protection.

L’Attrait - et le Danger - des Passkeys Synchronisées

Imaginez un coffre-fort qui vous suit partout, mais dont la clé est copiée sur tous vos appareils - et sur quelques-uns qui ne vous appartiennent pas. Voilà la promesse et le péril des passkeys synchronisées, une technologie rapidement adoptée pour son expérience utilisateur fluide. Ces identifiants numériques, souvent gérés via des services comme iCloud ou Google Cloud, permettent aux utilisateurs de se connecter sur plusieurs appareils sans mot de passe. Mais dans l’entreprise, cette commodité même peut se révéler être un cheval de Troie.

Contrairement aux passkeys liées à un appareil, qui sont verrouillées sur un seul dispositif matériel, les passkeys synchronisées sont téléchargées dans le cloud et distribuées à tous les appareils liés. Si un pirate compromet votre compte cloud ou trompe votre support technique lors d’une récupération, il peut autoriser un nouvel appareil et accéder à des systèmes sensibles - sans mot de passe requis. Le risque est amplifié lorsque les employés mélangent comptes personnels et professionnels, brouillant les frontières de sécurité et élargissant la surface d’attaque bien au-delà du pare-feu de l’entreprise.

Comment les Attaquants Piratent le Cloud

Les acteurs malveillants exploitent les maillons les plus faibles de la chaîne des passkeys. Les chercheurs de Proofpoint ont documenté des attaques où des proxys de phishing se font passer pour des navigateurs ne supportant pas les passkeys. Le système d’authentification, cherchant à rester convivial, revient alors à des méthodes plus faibles comme les codes SMS ou les mots de passe à usage unique - des méthodes facilement interceptées par les attaquants. Une fois qu’un attaquant capture un cookie de session ou un identifiant, il peut pénétrer dans les systèmes de l’entreprise sans être détecté.

Le navigateur lui-même est désormais un champ de bataille. Des extensions malveillantes peuvent détourner ou manipuler le processus de passkey, injectant des commandes frauduleuses ou déclenchant l’auto-complétion pour divulguer des identifiants. L’API “webAuthenticationProxy” de Chrome, conçue pour un accès distant légitime, peut être détournée par des extensions disposant des bonnes autorisations. Des chercheurs indépendants ont démontré qu’un simple clic sur une page web conçue à cet effet peut amener les gestionnaires de mots de passe - ou les passkeys - à révéler leurs secrets.

Leçons du Front

La FIDO Alliance et des fournisseurs de sécurité comme Yubico incitent les entreprises à rejeter les passkeys synchronisées au profit d’options matérielles liées à l’appareil. Ces identifiants sont générés et stockés dans un matériel sécurisé, jamais exportés ni synchronisés, et peuvent être strictement gérés et révoqués.

L’histoire regorge de violations qui ont commencé par une simple dégradation de l’authentification ou un processus de récupération compromis. De l’infâme piratage de Twitter en 2020 - où les attaquants ont utilisé l’ingénierie sociale pour contourner les contrôles - aux incidents plus récents visant les comptes cloud, le schéma est clair : les attaquants vont là où la sécurité est la plus faible et la commodité la plus grande.

Sécuriser l’Avenir : Faire du Chemin Fort le Seul Chemin

Pour garder une longueur d’avance sur les attaquants, les entreprises doivent exiger une authentification liée à l’appareil et résistante au phishing, et éliminer les méthodes de secours comme les SMS ou la réinitialisation par e-mail. Les extensions de navigateur doivent être strictement contrôlées et surveillées en continu. Plus important encore, les processus de récupération - la cible favorite des attaquants - doivent être renforcés afin qu’aucun support technique ou boîte mail ne puisse devenir une porte dérobée.

Au final, la sécurité n’est jamais plus forte que son maillon le plus faible. Les passkeys synchronisées, bien qu’excellentes pour les particuliers, n’offrent aucun bouclier pour l’entreprise. La prochaine fois que la commodité vous tente, souvenez-vous : entre les mains d’un attaquant, un identifiant synchronisé n’est qu’un passe-partout.

WIKICROOK

• Passkey : Une passkey est un identifiant numérique utilisant des clés cryptographiques, stocké sur votre appareil, pour vérifier votre identité de manière sécurisée sans mot de passe traditionnel.
• Appareil : Un appareil est tout matériel, comme un téléphone ou un ordinateur, qui se connecte aux réseaux et peut stocker des identifiants ou des données sensibles à des fins de sécurité.
• Phishing : Le phishing est une cybercriminalité où les attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
• Extension de Navigateur : Une extension de navigateur est un petit module qui améliore les fonctionnalités du navigateur mais peut aussi être détourné par des pirates pour voler des données ou espionner les utilisateurs.
• Cookie de Session : Un cookie de session est un fichier temporaire dans votre navigateur qui vous maintient connecté à un site web ; s’il est volé, il peut permettre à d’autres d’accéder à votre compte.