Un expert met en garde contre l'usage des passkeys pour chiffrer les données utilisateurs

Tim Cappalli, spécialiste des passkeys, alerte les services en ligne sur les dangers d'utiliser ces identifiants pour chiffrer les données des utilisateurs. Dans un billet publié récemment, il dénonce l'emploi de l'extension PRF (Pseudo-Random Function), une fonctionnalité permettant de dériver des clés de chiffrement à partir d'un passkey, pour protéger des sauvegardes de messages, des documents ou des portefeuilles cryptographiques. Cette pratique couple l'authentification à l'accès aux données, amplifiant les risques en cas de perte du passkey. Les passkeys, basés sur la norme WebAuthn promue par l'alliance FIDO, remplacent les mots de passe par des clés cryptographiques stockées sur les appareils et synchronisées entre eux. Au cours des deux dernières années, de nombreuses applications de messagerie et gestionnaires d'identifiants ont adopté cette extension PRF pour du chiffrement de bout en bout, y compris pour des photos et vidéos personnelles. Tim Cappalli cite l'exemple d'une utilisatrice, Erika, qui activerait des sauvegardes chiffrées liées à son passkey sans alerte claire sur cette dépendance, risquant de perdre à jamais des souvenirs irremplaçables. Sur le forum Lobste.rs, cette mise en garde suscite des débats : des utilisateurs soulignent la nécessité d'avoir accès à l'agent passkey, comme Bitwarden, sur l'appareil pour déchiffrer les données, et expriment des craintes sur l'exportabilité des passkeys, encore imparfaite malgré les efforts d'Apple, Google et Microsoft. Les services conservent souvent des options de réinitialisation par e-mail ou SMS, affaiblissant la sécurité globale. Tim Cappalli préconise des alternatives comme des mots de passe dédiés au chiffrement ou des mécanismes de récupération indépendants. Pour atténuer les risques, il recommande aux sites d'afficher des pages d'information explicites, listées dans un fichier bien connu (prfUsageDetails), et d'avertir les utilisateurs dès l'activation. Ces mesures pourraient préserver la confiance dans les passkeys tout en évitant des pertes de données massives.