Google a dploy mercredi une nouvelle option dauthentification que la grande enseigne de la technologie a qualifie de dbut de la fin du mot de passe . Les passkey (littralement cls de scurit ) sont une forme d’authentification des utilisateurs qui existe sous diverses formes depuis plus d’une dcennie. Elles prennent gnralement la forme de donnes biomtriques stockes localement sur l’appareil de l’utilisateur et sont considres comme l’une des mthodes d’authentification les plus rsistantes aux menaces. De nombreuses entreprises de cyberscurit et experts en authentification considrent galement ces cls de scurit comme une alternative viable aux noms d’utilisateur et aux mots de passe.
L’utilisation d’un mot de passe est la mthode la plus populaire pour accder un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, cette mthode est confronte plusieurs enjeux, notamment la mmorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services ncessitant un mot de passe, et la compromission dont elle peut faire l’objet.
De nombreuses tudes montrent chaque anne l’ampleur des violations de donnes lies la compromission des mots de passe. Plusieurs facteurs sont l’origine de ce problme, dont deux des plus connus sont la rtention, qui contraint parfois certains utilisateurs partager leurs mots de passe avec leurs collgues, et l’utilisation du mme mot de passe pour plusieurs comptes. Par exemple, selon une tude de la socit de cyberscurit Yubico (inventeur de la cl de scurit Yubikey) et l’institut Ponemon en 2019, 69 % des employs rvlent leurs mots de passe leurs collgues.
Dans le cadre de l’dition 2020 de la journe du mot de passe, Balbix, fournisseur de systme de scurit pour aider les entreprises transformer leur posture de cyberscurit et rduire de manire quantifiable leur risque de violation, a publi un rapport sur l’tat de l’utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs rutilisent leur mot de passe sur prs de trois comptes en raison du dsir de commodit et de rapidit lors de la navigation sur les diffrents comptes. Le rapport de Balbix estime qu’en moyenne, chaque mot de passe d’utilisateur est partag entre 2,7 comptes.
Face la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.
Les Passkey de Google disponibles comme option de connexion
Les Passkey de Google, qui sont dsormais disponibles pour tous les utilisateurs du fournisseur, incluent trois options : un code PIN, la reconnaissance faciale ou l’authentification par empreinte digitale. Lorsque la fonctionnalit est active, Google demande une authentification chaque fois qu’un utilisateur se connecte ou tente d’accder des informations sensibles.
Selon un article du blog de scurit Google publi paralllement l’annonce, les Passkey sont stockes localement sur l’ordinateur ou l’appareil mobile de l’utilisateur.
Les donnes biomtriques ne sont jamais partages avec Google ou tout autre tiers – le verrouillage de l’cran ne dverrouille le mot de passe que localement , lit-on sur le blog.
Le message, cocrit par les ingnieurs de Google, Arnar Birgisson et Diana Smetters, a fait valoir que les mots de passe imposent une grande responsabilit aux utilisateurs et risquent de tomber entre les mains d’acteurs malveillants :
Les Passkey sont une alternative plus pratique et plus sre aux mots de passe. Elles fonctionnent sur toutes les principales plateformes et navigateurs et permettent aux utilisateurs de se connecter en dverrouillant leur ordinateur ou leur appareil mobile avec leur empreinte digitale, la reconnaissance faciale ou un code PIN local.
L’utilisation de mots de passe impose une grande responsabilit aux utilisateurs. Choisir des mots de passe forts et les mmoriser sur diffrents comptes peut tre difficile. De plus, mme les utilisateurs les plus avertis sont souvent amens les abandonner lors de tentatives de phishing. Le 2SV (2FA/MFA) aide, mais met nouveau la pression sur l’utilisateur avec des frictions supplmentaires et indsirables et ne protge pas toujours compltement contre les attaques de phishing et les attaques cibles comme les « SIM swaps » pour la vrification par SMS. Les Passkey aident rsoudre tous ces problmes.
Sauvegardes en local
Birgisson et Smetters ont ajout que les Passkey sont une protection suffisamment solide pour que Google permette aux utilisateurs d’ignorer la connexion par mot de passe et la vrification en deux tapes lorsqu’une Passkey est active. De plus, ils ont expliqu que tout est sauvegard localement.
Lorsque vous ajoutez une Passkey votre compte Google, nous commencerons la demander lorsque vous vous connecterez ou effectuerez des actions sensibles sur votre compte. La Passkey elle-mme est stocke sur votre ordinateur local ou votre appareil mobile, qui vous demandera votre biomtrie de verrouillage d’cran ou votre code PIN pour confirmer qu’il s’agit bien de vous. Les donnes biomtriques ne sont jamais partages avec Google ou tout autre tiers – le verrouillage de l’cran ne dverrouille le Passkey que localement.
Contrairement aux mots de passe, les Passkey ne peuvent exister que sur vos appareils. Elles ne peuvent pas tre crites ou donnes accidentellement un acteur malveillant. Lorsque vous utilisez une Passkey pour vous connecter votre compte Google, cela prouve Google que vous avez accs votre appareil et que vous tes en mesure de le dverrouiller. Pris ensemble, cela signifie que les Passkey vous protgent contre le phishing et toute mauvaise manipulation accidentelle laquelle les mots de passe sont sujets, comme la rutilisation ou l’exposition lors d’une violation de donnes. Il s’agit d’une protection plus solide que la plupart des mthodes 2SV (2FA/MFA) offertes aujourd’hui, c’est pourquoi nous vous permettons d’ignorer non seulement le mot de passe, mais galement la 2SV lorsque vous utilisez une Passkey. En fait, les Passkey sont suffisamment solides pour remplacer les cls de scurit des utilisateurs inscrits notre programme de protection avance.
La cration d’une Passkey sur votre compte Google en fait une option de connexion. Les mthodes existantes, y compris votre mot de passe, fonctionnent toujours au cas o vous en auriez besoin, par exemple lorsque vous utilisez des appareils qui ne prennent pas encore en charge les Passkey. Les Passkey sont encore nouvelles et il faudra un certain temps avant qu’elles ne fonctionnent partout. Cependant, la cration d’une Passkey aujourd’hui prsente toujours des avantages en matire de scurit, car elle nous permet d’accorder une plus grande attention aux connexions qui se rabattent sur les mots de passe. Au fil du temps, nous les examinerons de plus en plus au fur et mesure que les Passkey gagneront en soutien et en familiarit.
Le dbut et la fin du mot de passe ? Vraiment ?
Dans un deuxime article de blog intitul Le dbut de la fin du mot de passe , les chefs de produit Google Christiaan Brand et Sriram Karra ont crit que bien que le dploiement de Passkey reprsente une tape pour s’loigner des mots de passe, les utilisateurs pourront toujours choisir des mots de passe traditionnels et l’ authentification multifacteurs car comme tout nouveau dpart, le changement conduisant Passkey prendra du temps .
L’introduction de Passkey de Google fait partie de la stratgie annonce prcdemment par l’entreprise pour commencer supprimer progressivement les noms d’utilisateur et les mots de passe au profit de systmes d’authentification plus solides pour mieux protger les comptes. En mai dernier, Google a rejoint Apple et Microsoft pour tendre la prise en charge de la norme FIDO2 de la Fast Identity Online Alliance, une spcification d’authentification sans mot de passe qui est la base de l’option de cl de scurit de Google.
Pour Jack Poller, un analyste de stratgie d’entreprise, la transition vers l’authentification sans mot de passe prend dfinitivement de la vitesse et la mise en uvre de Google est trs simple et facile utiliser .
Le dploiement par Google de la prise en charge des Passkey, aux cts d’Apple et de Microsoft, garantit que les composants fondamentaux de l’authentification sans mot de passe base sur FIDO sont disponibles sur toutes les principales plates-formes , a-t-il dclar. Dsormais, les dveloppeurs peuvent ajouter une authentification sans mot de passe aux applications et aux sites Web en toute confiance que les utilisateurs peuvent passer au « sans mot de passe » tout en utilisant tous les principaux navigateurs, ordinateurs portables et appareils mobiles .
Poller a dclar qu’il s’attend ce que les Passkey soient rapidement adoptes par les utilisateurs d’ici la fin de l’anne.
Pour mmoire, depuis septembre 2021, toute personne possdant un compte Microsoft peut dsormais supprimer compltement son mot de passe du compte pour disposer d’une autre alternative de scurit. Le vice-prsident de Microsoft, Vasu Jakka, l’a annonc dans un billet de blog :
partir d’aujourd’hui, vous pouvez dsormais supprimer compltement le mot de passe de votre compte Microsoft. Utilisez l’application Microsoft Authenticator, Windows Hello, une cl de scurit ou un code de vrification envoy votre tlphone ou par e-mail pour vous connecter vos applications et services prfrs, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc.
Apple, pour sa part, a fait une dmo de sa technologie d’authentification sans mot de passe durant l’dition 2022 de la WWDC. Apple a montr comment les Passkey sont sauvegardes dans le trousseau iCloud et peuvent tre synchronises sur Mac, iPhone, iPad et Apple TV avec un chiffrement de bout en bout. Les utilisateurs pourront galement se connecter des sites Web et des applications sur des appareils non Apple l’aide d’un iPhone ou d’un iPad pour scanner un code QR et Touch ID ou Face ID pour s’authentifier.
Lors de la confrence RSA 2023, le PDG de 1Password, Jeff Shiner, a dclar que son entreprise adoptait les Passkey. Il a ajout que 75 % des personnes interroges dans une nouvelle tude mene par le gestionnaire de mots de passe taient prtes utiliser des Passkey, mme si l’adoption des mcanismes d’authentification sans mot de passe prendra encore plusieurs annes .
Une approche qui a quand mme ses limites
Dans sa prsentation, Google n’aborde pas certaines questions importantes qui pourraient intresses le public. Nous pouvons en soulever quelques-unes :
- Quels sont les risques potentiels lis lutilisation des passkeys ? Par exemple, que se passe-t-il si lappareil de lutilisateur est perdu, vol ou endommag ? Que se passe-t-il si la reconnaissance faciale ou lempreinte digitale ne fonctionne pas correctement ou est compromise ?
- Quels sont les dfis lis ladoption des passkeys, notamment pour les applications hrites qui ne fonctionnent quavec des mots de passe ?
- Quelles sont les alternatives aux passkeys proposes par dautres acteurs du march de la cyberscurit et comment peuvent-elles tre interconnectes ? En clair, est-ce qu’une alternative aux passkeys me permettra par exemple de m’authentifier sur mon compte Google ou dois-je ncessairement passer par la solution de Google ?
Les voix indpendantes, telles que celle d’experts en cyberscurit, des associations de consommateurs ou des organismes de rgulation, pourraient apporter un regard critique sur les Passkeys et les intrts de Google.
Et vous ?
Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la cl de scurit ou le code de vrification envoy votre tlphone ou par e-mail ?
tes-vous tent d’essayer l’une d’elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez dj essay au moins une, qu’en avez-vous pens ?
Que pensez-vous des Passkeys de Google ? Le nouveau cheval de Troie de Google ?
Des retombes sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient tre adoptes massivement par internet et les internautes ?