Les initiatives sont nombreuses dans l'univers de la tech pour nous détacher de nos mots de passe. Trop souvent pris à la légère et source de piratage, le fameux duo identifiant + mot de passe ne suffit plus à garantir la sécurité et la confidentialité des comptes d'utilisateurs, d'autant que lorsque ce n'est pas l'utilisateur qui est en faute avec un mot de passe trop faible, ce sont les plateformes en ligne qui font l'objet de fuites.
Quand le mot de passe ne suffit plus
Depuis ce mercredi, Google fait un pas en avant vers un service sans mot de passe et déploie la procédure d'authentification sans mot de passe via Passkey. Cette méthode repose sur l'utilisation d'une clé d'accès qui offre une meilleure protection face aux tentatives de phishing, mais également par les méthodes plus complexes qui permettent l'interception des SMS dans le cadre d'une identification à double facteur traditionnelle.
Jusqu'ici, le système reposait sur l'utilisation de clés USB sécurisées dédiées, mais Google va plus loin en permettant aux utilisateurs de choisir divers authentificateurs (smartphones, navigateur Internet, application dédiée). L'utilisateur peut ainsi créer une passkey avant de l'utiliser sous la forme d'une identification biométrique (reconnaissance faciale ou empreinte digitale) depuis un appareil doté d'un dispositif de capture, ou sous la forme d'un code PIN sur les autres dispositifs.
Ces Passkeys se basent sur les normes FIDO et exploitent une paire de clés chiffrées : une stockée localement, l'autre associée au compte utilisateur et stockée par le prestataire de service, en l'occurrence ici : google.
Quand l'utilisateur utilisera son smartphone ou son ordinateur sur lequel la passkey a été créée, il n'aura qu'à utiliser son empreinte digitale ou son code PIN pour s'identifier.
Plus de mot de passe, plus de problème ?
Pour l'utilisateur, cela apporte plus de souplesse dans l'accès à ses différents comptes. Mais la solution est surtout intéressante d'un point de vue sécurité : Google ne stocke que la clé publique associée à la passkey de l'utilisateur. En cas de piratage ou de fuite de données, les pirates ne peuvent pas exploiter cette clé pour accéder au compte utilisateur.
Il est déjà possible d'activer les passkeys sur son compte Google, pour ce faire la démarche est assez simple : rendez-vous sur myaccount.google.com puis rubrique "Sécurité", "Comment vous connecter à Google" puis "Clés d'accès". Il faudra ensuite vous identifier puis suivre les indications fournies.