Accueil
À propos
Open Source Applications mobiles Questions fréquentes Migrer depuis Google Photos À propos de PixelUnion
Tarifs Blog
Centre d'Aide
Compte Immich Autres Contacter le support
Get Started
Privacy

Adieu les mots de passe : PixelUnion prend désormais en charge les clés d'accès

PixelUnion Team
7 min read
#Passkeys #Security #2FA #Authentication #Account Security #Privacy #Password-Free
Adieu les mots de passe : PixelUnion prend désormais en charge les clés d'accès

Les mots de passe sont une invention des années 1960. Ils ont été conçus pour un monde où les ordinateurs occupaient une pièce entière et n’étaient utilisés que par une poignée de scientifiques. Aujourd’hui, une personne ordinaire possède plus de 100 comptes en ligne, et des milliards d’identifiants sont exposés chaque année par des violations de données. Le modeste mot de passe n’a jamais été conçu pour ça: et ça se voit.

Nous sommes heureux d’annoncer que PixelUnion prend désormais en charge les clés d’accès: une méthode de connexion moderne et fondamentalement plus sûre. Plus de mots de passe à retenir, plus de codes SMS à saisir, et aucun moyen pour les attaquants de voler ce que vous n’avez jamais eu.

Qu’est-ce qu’un mot de passe, et quel est le problème ?

Avant d’expliquer les clés d’accès, il est utile de comprendre ce qui rend les mots de passe si problématiques.

Lorsque vous créez un mot de passe sur un site web, ce site en stocke une version sur ses serveurs. (Curieux de savoir exactement comment cela fonctionne ? Nous avons écrit un article sur le fonctionnement du hachage des mots de passe dans notre fournisseur d’identité.) Chaque fois que vous vous connectez, votre mot de passe voyage de votre appareil vers leur serveur, où il est comparé à ce qu’ils ont en mémoire. Cela signifie que deux choses sont vraies en même temps : votre secret doit être partagé, et quelqu’un d’autre est responsable de le garder en sécurité.

Quand des entreprises sont piratées: et ça arrive constamment: ces mots de passe stockés peuvent fuiter. Même quand les entreprises les stockent avec soin, des attaquants déterminés peuvent craquer les mots de passe faibles. Et parce que les gens réutilisent leurs mots de passe sur différents sites (c’est tout à fait compréhensible: qui peut en retenir 100 différents ?), une violation chez une entreprise peut se propager à des dizaines d’autres.

Les attaques par hameçonnage exploitent cela aussi. Une fausse page de connexion convaincante peut vous amener à taper votre mot de passe directement dans les mains d’un attaquant. Vous ne vous en rendez même pas compte.

Le problème n’est pas que les gens sont négligents. Le problème, c’est que la technologie est défaillante par conception.

Qu’est-ce qu’une clé d’accès ?

Une clé d’accès est un remplacement de votre mot de passe qui fonctionne d’une manière entièrement différente: et une fois que vous avez compris l’idée centrale, c’est en fait assez élégant.

Au lieu d’un mot secret que vous tapez, une clé d’accès est une paire de clés cryptographiques : l’une privée (stockée uniquement sur votre appareil) et l’autre publique (partagée avec le site web). Imaginez un cadenas et une clé, sauf que vous ne donnez jamais la clé à personne. Le site détient le cadenas, votre appareil détient la clé, et la connexion se produit lorsque votre appareil prouve qu’il peut ouvrir ce cadenas: sans jamais envoyer la clé elle-même.

En pratique, ça ressemble à ceci : vous visitez la page de connexion de PixelUnion, vous appuyez sur un bouton, et votre téléphone ou votre ordinateur vous demande de vous authentifier via Face ID, Touch ID, Windows Hello ou le code PIN de votre appareil. C’est tout. Aucun mot de passe à saisir, aucun code à recevoir par SMS.

Les clés d’accès ne peuvent pas être hameçonnées, car il n’y a pas de secret à voler. Même si un attaquant vous amène sur une fausse page de connexion, votre clé d’accès ne fonctionnera tout simplement pas là: elle est liée cryptographiquement au vrai site pixelunion.eu.

Ce qui rend les clés d’accès meilleures en pratique :

  • Rien à retenir. Votre appareil gère entièrement l’authentification.
  • Rien à voler côté serveur. Le serveur de PixelUnion ne stocke que votre clé publique, qui est inutile pour un attaquant.
  • Résistante à l’hameçonnage par conception. Votre clé d’accès ne fonctionnera que sur le vrai pixelunion.eu: pas sur un faux site, aussi convaincant soit-il.
  • Pas de problème de réutilisation. Chaque clé d’accès est unique par site, donc une violation ailleurs ne peut pas affecter votre compte PixelUnion.

Comment configurer une clé d’accès sur PixelUnion ?

La configuration prend environ une minute :

  1. Connectez-vous à votre compte PixelUnion.
  2. Rendez-vous dans les paramètres de sécurité de votre compte.
  3. Sélectionnez Ajouter une clé d’accès.
  4. Suivez les instructions sur votre appareil: votre téléphone, ordinateur ou clé de sécurité vous guidera.

Une fois configurée, vous pouvez utiliser votre clé d’accès pour vous connecter depuis n’importe quel appareil compatible. Elle peut être synchronisée via iCloud Keychain (sur les appareils Apple), Google Password Manager (sur Android/Chrome) ou Windows Hello: selon votre configuration.

Si vous utilisez un gestionnaire de mots de passe comme 1Password ou Bitwarden, ceux-ci prennent aussi en charge les clés d’accès et fonctionnent parfaitement sur toutes les plateformes.

Qu’est-ce que la double authentification: et pourquoi l’utiliser ?

Les clés d’accès représentent un grand bond en avant. Mais tant qu’on parle de sécurité des comptes, il y a une autre couche de protection qui mérite d’être mentionnée : la double authentification, ou 2FA.

L’idée derrière la 2FA est simple : pour se connecter, vous devez prouver deux choses séparées. Généralement, cela signifie quelque chose que vous savez (votre mot de passe) et quelque chose que vous avez (votre téléphone, par exemple). Même si un attaquant possède votre mot de passe, il ne peut pas se connecter sans votre second facteur.

Pensez à votre porte d’entrée avec à la fois une serrure et un verrou. Une serrure peut être crochetée ; deux, c’est bien plus difficile.

Types de 2FA, du moins sécurisé au plus sécurisé :

  • Codes SMS: Un code envoyé sur votre téléphone par SMS. Mieux que rien, mais vulnérable aux attaques par échange de SIM où un attaquant convainc votre opérateur de transférer votre numéro vers son appareil.
  • Applications d’authentification: Des applications comme Aegis (open-source, Android), Raivo (iOS) ou Google/Microsoft Authenticator génèrent des codes à durée limitée sur votre appareil. Nettement plus sécurisé que les SMS.
  • Clés de sécurité matérielles: Des clés physiques USB ou NFC comme une YubiKey que vous branchez ou effleurez. Extrêmement sécurisées, utilisées par les personnes et organisations à haut risque.
  • Clés d’accès: Comme décrit ci-dessus, elles constituent le standard de référence : résistantes à l’hameçonnage, liées à l’appareil et fluides.

Même si vous n’êtes pas encore prêt à passer aux clés d’accès, activez une application d’authentification comme second facteur. Cela prend cinq minutes et rend votre compte dramatiquement plus difficile à compromettre.

Pourquoi c’est particulièrement important pour vos photos

Votre compte PixelUnion contient certaines de vos données les plus personnelles : vos photos de famille, vos souvenirs, vos moments privés. Contrairement à un compte de réseau social où une violation pourrait entraîner des publications embarrassantes, un compte de stockage de photos compromis pourrait exposer des images profondément intimes.

Ce n’est pas hypothétique. Des comptes iCloud ont été ciblés précisément parce que les gens y stockent des photos intimes. Le stockage de photos est une cible de grande valeur.

Chez PixelUnion, nous avons toujours pris la sécurité au sérieux: en stockant vos données sur des serveurs européens, sous la législation européenne, à l’abri de la surveillance des Big Tech et de la portée juridique américaine. Mais les garanties techniques de confidentialité ne constituent qu’une partie de l’histoire. La sécurité de connexion de votre compte est la porte d’entrée, et elle mérite la même attention.

Ce que vous devriez faire aujourd’hui

Nous encourageons chaque utilisateur de PixelUnion à prendre deux mesures :

  1. Configurez une clé d’accès. C’est plus rapide, plus sûr, et vous n’aurez plus jamais besoin de vous souvenir d’un mot de passe pour PixelUnion. Connectez-vous et ajoutez la vôtre maintenant →
  2. Activez la 2FA. Si pour une raison quelconque vous préférez continuer avec un mot de passe, ajoutez une application d’authentification comme seconde couche de protection. Vous trouverez cette option dans Paramètres du compte → Sécurité.

Les dix minutes que vous y consacrerez aujourd’hui pourraient vous éviter une situation que vous ne voulez vraiment pas vivre.

Chez PixelUnion, nous croyons que garder vos souvenirs privés nécessite plus qu’un simple serveur conforme au RGPD. Cela demande une sécurité réfléchie à chaque niveau: de l’endroit où sont stockées vos photos à la façon dont votre compte est protégé. Les clés d’accès sont un pas de plus dans cette direction.

Sécurisez votre compte dès aujourd’hui →