Passkey : la solution de Google pour remplacer les mots de passe

Passkey : la solution de Google pour remplacer les mots de passe

Après Apple, Google adopte les passkeys pour remplacer les mots de passe. Les développeurs peuvent déjà tester cette méthode d'authentification simple et sécurisée sur Google Chrome et les Google Play Services.

Un futur sans mot de passe serait-il pour bientôt ? Il faut dire que leurs failles ne sont que trop bien connues : ils sont souvent trop faibles, réutilisés sur plusieurs sites et comptes, et peuvent être compromis après un phishing réussi. Des solutions ont bien été mises en place pour combler ces faiblesses, comme la double authentification – qui n'est pas infaillible – et les gestionnaires de mots de passe – qui peuvent être piratés –, mais les risques existent toujours, surtout à l'heure où les pirates font de plus en plus preuve d'imagination. Cela fait un moment que l'alliance FIDO – un consortium de grandes entreprises technologiques, d'agences gouvernementales, de fournisseurs de services, d'institutions financières, de processeurs de paiement et d'autres industries, dont Apple, Amazon, Microsoft, PayPal et Google, voir notre article – travaillent sur une technologie visant à éliminer l'utilisation du mot de passe.

Et la solution pourrait bien venir des passkeys – aussi appelées clés d'accès ! Après qu'Apple ait annoncé vouloir les introduire avec iOS 16 et macOS, c'est au tour de Google de permettre aux développeurs de commencer à implanter cette technique d'authentification sur Android, via la version bêta des Google Play Services et la version Canary de Google Chrome. Pour Diego Zavala, chef de produit Android et Christiaan Brand, chef de produit Compte et Sécurité, le déploiement des passkeys serait une belle avancée car elles "ne peuvent pas être réutilisées, ne fuitent pas dans les failles de serveur et protègent les utilisateurs contre les attaques de phishing", comme ils l'expliquent sur le blog Android Developers.

Passkey : le remplaçant du mot de passe ?

En faisant usage des passkeys, l'utilisateur choisit un appareil – logiquement son smartphone – comme système d'authentification principal sur les sites et applications. Au moment de l'inscription ou de la modification du moyen de connexion, le smartphone crée deux clés chiffrées : une publique qui est envoyée au fournisseur de service, et une clé privée qui reste stockée dans le téléphone et permettra au site web ou à l'application de l'authentifier en débloquant l'appareil via son mécanisme d'authentification du smartphone – code PIN, modèle, reconnaissance faciale ou empreinte digitale. Pour simplifier, au lieu d'entrer un mot de passe, il suffit d'utiliser la méthode de déverrouillage habituelle de son appareil principal. Et le tour est joué ! La passkey du smartphone peut aussi être utilisée pour se connecter sur un site via un autre appareil – comme son ordinateur portable. Il suffit de scanner le QR code qui est affiché sur le site avec son smartphone. À terme, l'objectif est de permettre l'utilisation des passkeys sur différentes plates-formes – Windows, macOS, ChromeOS, Android et iOS – afin que, par exemple, un utilisateur du navigateur Chrome sur Windows puisse s'authentifier sur un site en utilisant une passkey stockée sur un iPhone.

Concrètement, au quotidien, l'usage de passkeys ne change rien pour l'utilisateur. En effet, il existe déjà des standards permettant de se connecter à des applications ou à des sites en utilisant un de ses appareils – comme en confirmant via son smartphone que la connexion vient bien de nous, ou en appuyant sur un chiffre en particulier qui s'affiche dessus. Toutefois, il faut toujours se connecter au moins une fois avec un mot de passe pour pouvoir activer cette fonction de connexion. Et cela n'empêche pas de pouvoir récupérer l'accès à son compte grâce à ses identifiants – qui peuvent donc être détournés. Mais l'utilisation de passkeys soulève aussi quelques inconvénients, notamment lorsque l'on souhaite remplacer son smartphone Android par un iPhone – ou inversement –, ou que survient un vol ou une casse de l'appareil. Il faut alors soit copier manuellement ses passkeys dans le nouveau téléphone – ce qui est assez fastidieux –, soit réclamer de nouveaux codes d'accès après de tous les services, en prouvant à chaque fois son identité... Toujours est-il que les passkeys de Google seront disponibles pour tous les utilisateurs d'Android et de Google Chrome en novembre 2022. Il ne restera ensuite plus qu'à créer une interface de programmation d'application (API) pour permettre l'utilisation des passkeys sur les applications Android natives. En attendant, mieux vaut se créer un mot de passe sécurisé.

Guide confidentialité