La protection avancée des comptes Google prend désormais en charge les passkeys
Le système de protection avancée de compte Google prend désormais en charge la connexion par passkey. Une solution aussi sécurisée que les clés physiques, tout en étant bien plus pratique !
Depuis 2017, Google propose une fonction de protection avancée pour les comptes des utilisateurs dits "à haut risque", comme les chefs d'entreprise, les journalistes, les équipes de campagne électorale, les hommes et femmes politiques ou les activistes, qui craindraient d'être espionnés par des agences de renseignement ou ciblés par des puissants virus. Cette fonction transforme leur compte Google en un véritable coffre-fort. Au lieu d'utiliser des codes envoyés par SMS ou générés par des applications d'authentification (comme Google Authenticator), il faut recourir à des clés physiques pour y accéder. C'est bien plus sécurisé, car les SMS peuvent facilement être interceptés et le smartphone être piraté. Avec une clé physique, rien de tout cela n'est possible. Reste que ce moyen de protection n'est pas des plus simples à gérer. Mais il y a désormais une alternative toute aussi sécurisée.
Comme il l'annonce dans un billet de blog, Google a mis à jour son programme, qui peut désormais prendre en charge les passkeys – aussi appelées clés d'accès. Ces dernières permettent de se connecter au compte en utilisant une authentification biométrique – empreintes digitales ou reconnaissance faciale – ou un code PIN, et sont de ce fait résistantes aux attaques en ligne telles que le phishing, offrant ainsi une sécurité accrue.
Passkey Google : se connecter en toute sécurité à son compte Google
Les passkeys sont bien plus simples à gérer que les clés physiques, que l'on peut perdre ou oublier de prendre avec soi, tout en offrant un niveau de sécurité équivalent. "Les passkeys offrent aux utilisateurs à haut risque la possibilité de compter sur la facilité et la sécurité d'utilisation de leurs appareils personnels qu'ils possèdent déjà, plutôt que sur un autre appareil ou un outil comme une clé de sécurité, pour une authentification résistante au phishing", assure Google.
Mais si configurer des clés d'accès est un jeu d'enfant, il se cache derrière cette apparente simplicité une technologie complexe, en gestation depuis des années. Le principe est le suivant : l'utilisateur choisit un appareil – logiquement son smartphone – comme système d'authentification principal sur les sites et applications. Au moment de l'activation des passkeys, l'appareil génère deux clés chiffrées : la première, dite "publique", est envoyée aux fournisseurs de services – en l’occurrence Google –, tandis que la seconde, dite "privée", est stockée dans l'appareil. À chaque tentative de connexion, celui-ci enverra au service un message d'authentification dérivé de la clé privée. S'il est vérifié par la clé "publique" présente sur le serveur, la connexion est autorisée !
Ce nouveau système d'authentification est adopté par de plus en plus de services en ligne. En mai 2023, Google avait autorisé l'utilisation des passkeys pour les comptes des particuliers (voir notre article). Pour activer la protection avancée et utiliser une passkey, suivez les instructions de cette page de Google. Attention, vous devez disposer d'un appareil compatible, tel qu'un ordinateur portable ou de bureau avec Windows 10, macOS Ventura ou ChromeOS 109, ou un appareil mobile tournant sous iOS 16 ou Android 9 au minimum.