Aujourd'hui, Apple a publié les premières versions de ses systèmes d'exploitation pour les membres du programme développeur.

Ces nouveaux systèmes d'exploitations apportent leurs lots de nouveautés visuelles est fonctionnelles. La principale nouvelle fonctionnalité qui nous intéressaient étaient le nouvel assistant SIRI qui utilise désormais les modèles de Google : Gemini. Cet assistant n'est pour l'instant pas disponible en France, il fera l'objet d'un prochain article dès que nous pourrons mettre la main dessus.

Aujourd'hui nous allons vous parler d'une fonctionnalité que nous n'attendions pas mais qui nous a intrigué. L'application mot de passe possède désormais une nouvelle fonctionnalité qui lui permets de lister vos mots de passe faibles (rien de nouveau ici) et vous propose si vous le souhaitez de mettre à jour automatiquement vos mot de passe en se connectant pour vous à vos service en ligne. Dans cet article nous allons vous expliquer comment cela fonctionne y compris lorsque vous avez du MFA activé, puis de discuter de l'utilité et des risques liés à cette fonctionnalité surprenante.

Une tentative de résoudre le problème historique des mots de passe

Depuis plus de vingt ans, les experts en cybersécurité répètent les mêmes recommandations : utiliser des mots de passe uniques, longs et complexes. Pourtant, malgré la généralisation des gestionnaires de mots de passe, les mauvaises pratiques persistent. La raison n’est pas un manque de sensibilisation mais bien une question d’ergonomie.

Modifier un mot de passe reste une opération fastidieuse. Il faut retrouver l’option dans l’interface du service, respecter parfois des règles complexes, confirmer l’opération puis mettre à jour son gestionnaire de mots de passe. Lorsque cette démarche doit être répétée sur plusieurs dizaines de comptes, elle finit souvent repoussée à plus tard.

La nouveauté introduite par Apple vise précisément à supprimer cette friction. Pour la première fois, le gestionnaire de mots de passe ne se contente plus de stocker ou de générer des secrets : il intervient directement dans leur cycle de vie.

Comment Apple parvient-il à modifier vos mots de passe à votre place ?

La première question que nous nous sommes posée concerne naturellement le fonctionnement technique de cette fonctionnalité. À première vue, l’idée qu’un système d’exploitation puisse modifier automatiquement les mots de passe de services tiers peut sembler inquiétante.

En réalité, Apple n’obtient aucun accès privilégié aux plateformes concernées. Le mécanisme repose sur des standards web permettant aux sites compatibles d’indiquer au système comment accéder à la procédure de changement de mot de passe. L’application Mots de passe agit alors comme un utilisateur particulièrement rapide et discipliné : elle se connecte, navigue jusqu’à l’écran approprié, génère un nouveau secret robuste puis valide l’opération.

L’ensemble du processus s’effectue localement sur l’appareil de l’utilisateur et ne nécessite pas qu’Apple connaisse le mot de passe du service concerné.

Cette approche est particulièrement intéressante car elle ne nécessite pas de modifier profondément l’architecture de sécurité des sites web. Elle repose principalement sur l’automatisation d’actions qu’un utilisateur effectuerait déjà manuellement.

La question du MFA : un obstacle seulement apparent

L’existence de mécanismes d’authentification multifacteur pourrait laisser penser que cette automatisation est limitée à quelques services peu sécurisés. Nos tests montrent pourtant que ce n’est pas le cas.

Apple bénéficie ici d’un avantage considérable : la maîtrise complète de son écosystème. Lorsqu’un code de validation est généré par l’application Mots de passe elle-même, le système peut naturellement y accéder. Lorsque le second facteur repose sur une notification push, l’utilisateur n’a généralement qu’à valider la demande sur son appareil. Même les codes reçus par SMS peuvent être automatiquement détectés et proposés au bon moment grâce à des mécanismes déjà présents dans iOS depuis plusieurs années.

Il est important de souligner que cette fonctionnalité ne contourne pas le MFA. Elle exploite simplement le fait que l’utilisateur légitime est déjà authentifié sur un appareil de confiance. La sécurité apportée par le second facteur demeure donc intacte.

Une évolution qui pourrait réellement améliorer l’hygiène numérique

Dans le cadre de nos audits et de nos interventions en réponse à incident, nous constatons régulièrement que les utilisateurs continuent de réutiliser des mots de passe sur plusieurs services. Cette réalité concerne aussi bien les particuliers que les professionnels.

La plupart du temps, il ne s’agit pas d’une méconnaissance des risques. Les utilisateurs savent que cette pratique est dangereuse. Ils savent également qu’un mot de passe compromis devrait être remplacé rapidement. Ce qui manque souvent, c’est la motivation nécessaire pour effectuer une tâche perçue comme longue et sans valeur immédiate.

En réduisant quasiment à zéro le coût d’un changement de mot de passe, Apple pourrait avoir davantage d’impact sur la sécurité réelle des utilisateurs que de nombreuses campagnes de sensibilisation. Cette approche rappelle un principe fondamental de la cybersécurité moderne : les comportements sécurisés sont plus facilement adoptés lorsqu’ils deviennent la solution la plus simple.

Une centralisation qui interroge

Cette évolution soulève néanmoins plusieurs questions.

Depuis quelques années déjà, les gestionnaires de mots de passe sont devenus des éléments centraux de notre identité numérique. Ils concentrent l’accès à nos comptes professionnels, personnels, bancaires ou administratifs.

Avec cette nouvelle fonctionnalité, leur rôle devient encore plus important. Le gestionnaire ne se contente plus de conserver les clés ; il participe activement à leur renouvellement.

Cette concentration des privilèges crée inévitablement une dépendance plus forte à l’écosystème choisi. Dans le cas présent, Apple renforce encore l’intégration entre ses appareils, ses mécanismes d’authentification et son gestionnaire de mots de passe.

Même si les protections mises en œuvre par l’entreprise sont parmi les plus avancées du marché, cette centralisation mérite d’être prise en compte dans l’analyse des risques.

Le véritable sujet : la disparition progressive du mot de passe

Au-delà de l’aspect technique, cette nouveauté nous semble intéressante pour une autre raison.

Elle illustre la transition actuellement en cours vers un monde où l’utilisateur ne connaît plus ses propres secrets d’authentification.

Les gestionnaires de mots de passe génèrent déjà des chaînes de caractères impossibles à mémoriser. Les Passkeys, promues par Apple, Google et Microsoft, vont encore plus loin en supprimant totalement la notion même de mot de passe.

Dans ce contexte, l’automatisation du renouvellement des identifiants apparaît presque comme une technologie de transition. Apple améliore un mécanisme dont toute l’industrie prépare déjà le remplacement.

À première vue, cette nouvelle fonction de l’application Mots de passe pourrait sembler anecdotique. Après plusieurs essais, notre impression est différente.

Apple ne révolutionne pas l’authentification. L’entreprise s’attaque plutôt à un problème très concret : la difficulté qu’ont les utilisateurs à maintenir leurs mots de passe à jour. En supprimant une partie des contraintes opérationnelles, cette fonctionnalité pourrait contribuer à améliorer significativement l’hygiène numérique de nombreux utilisateurs.

Elle marque également une étape supplémentaire dans une évolution plus profonde : le passage progressif d’une sécurité fondée sur des secrets mémorisés à une sécurité fondée sur des appareils de confiance et des mécanismes cryptographiques transparents pour l’utilisateur.

Autrement dit, ce qui est peut-être le plus intéressant dans cette nouveauté n’est pas sa capacité à changer les mots de passe automatiquement, mais ce qu’elle révèle de l’avenir du mot de passe lui-même.