Une étude menée par Dashlane montre que la technologie des passkeys commence à prendre auprès des utilisateurs. Des consultants pointent néanmoins qu’il s’agit toujours de mots de passe.
Pas facile de se passer des mots de passe. Et pourtant depuis quelques mois, plusieurs acteurs IT (Google, Ebay, Microsoft,…) poussent à l’adoption de la technologie des passkeys comme alternative aux mots de passe. Ces clés d’accès peuvent être une empreinte digitale, un scan du visage ou un code PIN pour s’authentifier. Leur adoption est encore balbutiante mais elle progresse selon un rapport de Dashlane, éditeur d’un gestionnaire de mots de passe. Les passkeys proposés par le fournisseur sont passées à 200 000 par mois, ce qui représente une augmentation de plus de 400 % depuis le début de l’année.
Les sites et les acteurs IT s’y mettent
Il ajouté la prise en charge des passkeys à son produit il y a deux ans. Parmi les principaux sites ayant favorisé l’adoption de la technologie au cours de la période qui va d’avril à la fin juin de cette année, Amazon est arrivé en tête avec une croissance de 88,9 % par rapport au trimestre précédent. Parmi les autres sites figurant sur la liste, on peut citer Target (70,5 % de croissance), Github (33,5 %), PingOne (31,7 %) et Google (28,6 %). Parmi les autres développements récents, AWS a annoncé en juin qu’il avait ajouté la prise en charge des passkeys FIDO2, une méthode d’authentification conforme au framework Fast Identity Online (FIDO), pour l’authentification multifactorielle et qu’il rendrait bientôt le MFA obligatoire pour la connexion aux comptes AWS.
En mai dernier, Google a commencé à déployer la prise en charge des passkeys dans les comptes Google sur toutes les grandes plateformes. Le fournisseur a ajouté une option de connexion qui peut être utilisée en plus des mots de passe et de la vérification en deux étapes. « De nombreuses PME se tournent vers des fournisseurs de coffre-fort d’identifiants comme Dashlane qui prennent en charge la synchronisation des passkeys FIDO2 et peuvent être limités aux connexions SSO », a déclaré Carlos Rivera, directeur conseil principal chez Info-Tech Research Group, dans un courriel. « Avec la publication du supplément NIST SP 800-63B sur les authentificateurs synchronisables, il y a un intérêt considérable de la part des entreprises pour une MFA résistante au phishing qui les affranchit de la gestion des jetons matériels ou des points d’extrémité Windows Hello, véritable barrière à l’adoption », a-t-il ajouté.
Des interrogations persistantes sur l’usage et la sécurité
David Shipley, CEO de Beauceron Security, une entreprise basée à Fredericton, Nouveau-Brunswick, estime cependant que cette méthode a aussi des inconvénients. « Les passkeys concilient commodité et sécurité, mais il s’agit toujours de mots de passe, même s’ils sont uniquement connus des terminaux et des services. En cas de perte de l’accès physique à un équipement, ou à des choses comme une YubiKey, les entreprises se retrouvent face à de nombreux défis informatiques ». C’est, selon lui, le plus grand inconvénient, car il implique « des compromis entre la commodité et la sécurité », en particulier quand la main-d’œuvre est distante ou éparpillée. « L’un des plus grands défis de l’affaire CrowdStrike a été de savoir comment restaurer tous ces terminaux sur des sites distants alors qu’un clavier était potentiellement nécessaire ». Selon David Shipley, les passkeys sont très bien pour stocker les identifiants de grande valeur, par exemple ceux des administrateurs IT et d’autres personnes relativement averties et compétentes. « On voudra toujours des stratégies de résilience liées au risque de réutilisation ou de capture des mots de passe par des logiciels malveillants. Mais on veut aussi une stratégie de résilience pour les pannes matérielles, les pannes d’appareils, ce genre de choses ».
Celui-ci ajoute que le principe même des passkeys « fait trop de promesses sur certains aspects de la sécurité » souligne le consultant. Il apparaît qu’ils sont vulnérables à des attaques de type « adversary in the middle », selon les travaux d’eSentire. Jay Bretzmann, analyste d’IDC spécialisé dans la gestion des identités et des accès se veut philosophe, « les passkeys sont clairement plus sûrs que les mots de passe, mais ce n’est pas pour autant qu’ils sont à toute épreuve. Et de donner un conseil, « il faut absolument la mettre en place pour toutes les plates-formes et applications qui les supportent. Elle offre deux avantages par rapport aux mots de passe : d’abord, les paires de clés sont toujours uniques pour les sites web et les applications ; ensuite, un humain n’a pas à les générer ni à s’en souvenir ».
Le spécialiste de l’informatique quantique D-Wave a présenté ses ambitions pour les prochaines années avec un focus autour de l’IA et du machine learning. Les analystes sont séduits, mais estiment qu’il est encore tôt pour connaître l’impact d’une telle avancée
Mêler informatique quantique et IA, voilà l’ambition de D-Wave pour les années qui viennent. La société basée à Palo Alto veut « renforcer le lien entre l’optimisation quantique, l’IA et l’apprentissage machine » tout en améliorant son service cloud nommé Leap. Elle estime que le timing de cette annonce est bon et « intervient à un moment où l’ensemble de l’industrie de l’IA était confronté à une situation critique »
Selon D-Wave, « le coût de la quantité de calcul, et de l’énergie associée, nécessaires pour satisfaire des cas d’usage de plus en plus nombreux, augmente rapidement ». Dans un communiqué, il a ajouté que sa prochaine offre pouvait tirer parti de la « capacité unique du recuit quantique à résoudre les problèmes d’optimisation pour aider les clients à mieux traiter les charges de travail d’IA et de ML, plus rapidement et plus efficacement sur le plan énergétique. »
Trois domaines ciblés par la feuille de route
Dans son communiqué, D-Wave indique se concentrer sur trois domaines :
– Des distributions quantiques pour la GenAI : D-Wave prévoit d’axer son développement sur « la conception d’architectures d’IA générative qui utilisent des échantillons de l’unité de traitement quantique (Quantum Processing Unit, QPU) à partir de distributions quantiques qui ne peuvent pas être générées de manière classique ». Dans ce domaine, les premiers cas d’usage concerneront la découverte de molécules.
– Des architectures de machines de Boltzmann restreintes (Restricted Boltzmann Machine, RBM) : elles exploiteront la QPU de D-Wave pour des applications qui vont de la cybersécurité et de la découverte de médicaments à l’analyse de données de physique des hautes énergies, ce qui pourrait potentiellement conduire à une réduction de la consommation d’énergie pour l’entraînement et l’exécution de modèles d’IA.
– L’intégration du GPU avec Leap : D-Wave compte incorporer des ressources GPU supplémentaires pour l’entraînement et le soutien des modèles d’IA parallèlement aux charges de travail d’optimisation. De plus, « des efforts sont en cours pour réduire encore plus la latence entre les QPU et les ressources informatiques classiques, une étape essentielle pour permettre la technologie hybride quantique pour l’IA/ML. »
Les analystes séduits mais sur le long terme
« Les avancées de D-Wave dans le domaine de l’informatique quantique pour l’IA sont certes captivantes, mais il est encore trop tôt pour évaluer l’impact et la valeur de cette technologie pour les cas d’usage de l’IA dans le monde réel », a déclaré Selon Bill Wong, chargé de recherche à l’Info-Tech Research Group. « Aujourd’hui, la plupart des entreprises ne se préparent pas à des percées dans le domaine de l’IA grâce à l’utilisation de l’informatique quantique et ne les anticipent pas. Cela restera probablement l’un des principaux défis de l’informatique quantique, à savoir trouver les cas d’usage de l’IA qui peuvent bénéficier de manière significative de cette plateforme de calcul accéléré alors que les plateformes traditionnelles (c’est-à-dire basées sur le GPU) peuvent répondre aux exigences de calcul à un coût beaucoup plus faible », a-t-il ajouté. Selon l’analyste, les cas d’usage possibles « peuvent se concentrer sur le développement d’une cryptographie résistante au quantique, pour laquelle les plateformes informatiques traditionnelles ne peuvent pas fournir les ressources requises. D-Wave est à la pointe de cette recherche, et je suis moi aussi en quête de cas d’usage qui pourront conduire à l’adoption de cette plateforme unique ».
Heather West, analyste en informatique quantique chez IDC, fait remarquer que « l’on s’est souvent interrogé sur la manière dont l’IA et l’informatique quantique pourraient fonctionner en synergie, mais à ce stade, il s’agit plutôt de l’IA qui influence l’informatique quantique ». Selon elle, un élément clé de l’annonce tourne autour du recuit quantique, car ce processus a été conçu spécifiquement pour résoudre des problèmes d’optimisation, et, pour que le quantique « ait vraiment un impact, il faut une base de clients plus importante ». À la question de savoir si l’annonce faite hier par D-Wave faisait entrer le débat sur l’informatique quantique dans le courant dominant, elle a répondu : « Oui, en effet, D-Wave a adopté une approche centrée sur le client pour développer son système quantique. » Contrairement à la plupart des fournisseurs de matériel quantique, qui parlent de leurs qubits, des différents composants du système quantique, des cas d’usage possibles, « D-Wave parle de cas d’usage en cours d’exploration et qui ont une valeur ajoutée, en mettant vraiment l’accent sur le client. »
Sid Nag, analyste de Gartner, spécialisé dans le Scalable Computing, a déclaré que « même si D-Wave ne le disait pas explicitement », l’annonce représentait une « alternative aux GPU ». Celui-ci a toutefois mis en garde contre « l’apparition de tout un tas de fournisseurs de cloud spécialisés, concurrents des hyperscalers, à l’image de ce qui se passe de plus en plus dans le domaine de l’IA ». Ajoutant : « Je ne sais pas quelle sera son ampleur en croissance réelle. À un moment donné, le « creux des désillusions », une expression de Gartner pour désigner une phase « où, après l’engouement initial et les attentes exagérées, l’intérêt commence à diminuer », va s’installer ». M. Nag précise encore que, dans le cas de D-Wave, « ils visent un marché très particulier ».