Clés d'accès Google : la fin des mots de passe pour utiliser des comptes !

Plus besoin de mot de passe pour se connecter à un compte ou un service Google ! Le géant du numérique permet désormais d'utiliser des clés d'accès (passkeys), une technologie plus fiable et plus simple pour tous ses services.

Un futur sans mot de passe serait-il pour bientôt ? C'est en tout cas le chemin que semble emprunter Google, qui franchit une nouvelle étape dans le déploiement de passkeys – aussi appelées clés d'accès. Depuis le 3 mai 2023, les milliards d'utilisateurs des services Google peuvent adopter cette méthode d'authentification, via les capteurs biométriques, le code PIN de verrouillage du smartphone ou des clés électroniques d'authentification physique, et abandonner complètement leurs mots de passe et leurs codes de vérification pour se connecter à leurs comptes, comme l'annonce fièrement la firme dans son communiqué. Pour cela, il suffit de se rendre à cette adresse, de se connecter à son compte avec ses identifiants habituels puis de cliquer sur "Utiliser des clés d'accès". Pour ajouter une clé d'accès supplémentaire, pour un autre appareil, il suffit ensuite de cliquer sur "+ Créer une clé de sécurité" – clé qui sera donc stockée sur l'appareil utilisé.

Clés d'accès : se connecter en toute sécurité à son compte Google

Les passkeys des comptes Google sont stockées sur tout matériel compatible – à savoir les iPhone fonctionnant sous iOS 16 et les appareils Android fonctionnant sous Android 9 au minimum – et peuvent être partagées avec d'autres appareils à partir du système d'exploitation en utilisant des services comme iCloud ou certains gestionnaires de mots de passe. Pour utiliser l'appareil d'une autre personne pour accéder temporairement à son compte Google, il faut sélectionner l'option "Utiliser un mot de passe d'un autre appareil" afin de créer une connexion unique. Attention, il ne faut surtout pas créer une clé d'accès sur un appareil partagé, car son véritable propriétaire serait alors en mesure d'accéder au compte Google quand il le souhaite. En cas de vol, de perte ou d'infiltration de l'appareil, il est tout à fait possible de révoquer les clés de sécurité dans les paramètres de son compte.

Même s'il faudra un certain temps pour que la prise en charge des passkeys soit largement adoptée, cette annonce fait considérablement avancer leur adoption en raison de la taille de Google et de l'ampleur de la mise en œuvre. Pour le moment, les comptes des utilisateurs continueront à prendre en charge les méthodes de connexion existantes, telles que les mots de passe – il s'agit d'une période de transition en quelque sorte. La firme de Mountain View prévoit de promouvoir cette nouvelle technologie dans les mois à venir et de commencer à inciter leurs utilisateurs à convertir leurs identifiants en passkeys.

Clés d'accès : la solution pour remplacer les mots de passe

Mais pourquoi chercher à créer un futur sans mot de passe ? Tout simplement à cause de leurs failles, qui ne sont que trop bien connues. En effet, ils sont souvent trop faibles, réutilisés sur plusieurs sites et comptes, et peuvent être compromis après un phishing réussi. Des solutions ont bien été mises en place pour combler ces faiblesses, comme la double authentification – qui n'est pas infaillible – et les gestionnaires de mots de passe – qui peuvent être piratés –, mais les risques existent toujours, surtout à l'heure où les pirates font de plus en plus preuve d'imagination. Cela fait un moment que l'alliance FIDO – un consortium de grandes entreprises technologiques, d'agences gouvernementales, de fournisseurs de services, d'institutions financières, de processeurs de paiement et d'autres industries, dont Apple, Amazon, Microsoft, PayPal et Google (voir notre article) – travaillent sur une technologie visant à éliminer l'utilisation du mot de passe : les passkeys !

Après qu'Apple ait annoncé vouloir les introduire avec iOS 16 et macOS, Google avait à son tour permis en octobre 2022 aux développeurs de commencer à implanter cette technique d'authentification sur Android, via la version bêta des Google Play Services et la version Canary de Google Chrome. Pour Diego Zavala, chef de produit Android, et Christiaan Brand, chef de produit Compte et Sécurité, le déploiement des passkeys étaot une belle avancée car elles "ne peuvent pas être réutilisées, ne fuitent pas dans les failles de serveur et protègent les utilisateurs contre les attaques de phishing", comme ils l'expliquaient sur le blog Android Developers.

Passkey : comment fonctionne le remplaçant du mot de passe ?

En faisant usage des passkeys, l'utilisateur choisit un appareil – logiquement son smartphone – comme système d'authentification principal sur les sites et applications. Au moment de l'inscription ou de la modification du moyen de connexion, le smartphone crée deux clés chiffrées : une publique qui est envoyée au fournisseur de service, et une clé privée qui reste stockée dans le téléphone et permettra au site web ou à l'application de l'authentifier en débloquant l'appareil via son mécanisme d'authentification du smartphone – code PIN, modèle, reconnaissance faciale ou empreinte digitale. Pour simplifier, au lieu d'entrer un mot de passe, il suffit d'utiliser la méthode de déverrouillage habituelle de son appareil principal. Et le tour est joué ! La passkey du smartphone peut aussi être utilisée pour se connecter sur un site via un autre appareil – comme son ordinateur portable. Il suffit de scanner le QR code qui est affiché sur le site avec son smartphone. À terme, l'objectif est de permettre l'utilisation des passkeys sur différentes plates-formes – Windows, macOS, ChromeOS, Android et iOS – afin que, par exemple, un utilisateur du navigateur Chrome sur Windows puisse s'authentifier sur un site en utilisant une passkey stockée sur un iPhone.

Concrètement, au quotidien, l'usage de passkeys ne change rien pour l'utilisateur. En effet, il existe déjà des standards permettant de se connecter à des applications ou à des sites en utilisant un de ses appareils – comme en confirmant via son smartphone que la connexion vient bien de nous, ou en appuyant sur un chiffre en particulier qui s'affiche dessus. Toutefois, il faut toujours se connecter au moins une fois avec un mot de passe pour pouvoir activer cette fonction de connexion. Et cela n'empêche pas de pouvoir récupérer l'accès à son compte grâce à ses identifiants – qui peuvent donc être détournés. Mais l'utilisation de passkeys soulève aussi quelques inconvénients, notamment lorsque l'on souhaite remplacer son smartphone Android par un iPhone – ou inversement –, ou que survient un vol ou une casse de l'appareil. Il faut alors soit copier manuellement ses passkeys dans le nouveau téléphone – ce qui est assez fastidieux –, soit réclamer de nouveaux codes d'accès après de tous les services, en prouvant à chaque fois son identité... Toujours est-il que les développeurs peuvent tester cette méthode d'authentification simple et sécurisée sur Google Chrome et les Google Play Services depuis novembre 2022, en créant une interface de programmation d'application (API) permettant leur utilisation des passkeys sur les applications Android. En attendant, mieux vaut se créer un mot de passe sécurisé.