3 min de lecture
Google lance les "passkeys" pour remplacer les mots de passe : comment les utiliser
Google franchit une nouvelle étape dans le déploiement des clés d'accès, une nouvelle méthode d'authentification censée être à la fois plus rapide et pratique que les mots de passe à l'usage mais aussi et surtout plus sécurisée pour les utilisateurs.
Une personne utilisant un smartphone (illustration)
Crédit : d3sign / GETTY
Je m'abonne à la newsletter « Infos »
Se connecter à son compte sans mot de passe. C'est la promesse faite par le géant américain Google à travers le lancement des "passkeys", annoncé dans un communiqué ce mercredi 3 mai. Soucieux de répondre aux nombreux problèmes posés par les mots de passe et leur gestion fastidieuse pour les internautes et les sites Internet, qui occasionne trop souvent des négligences fâcheuses pour la sécurité en ligne, l'entreprise technologique offre désormais la possibilité de recourir à des "clés d'accès" pour s'authentifier à son compte.
Ces "passkeys" sont censées être à la fois plus rapides et pratiques à l'usage mais aussi et surtout plus sécurisées pour les utilisateurs. Elles sont la traduction simplifiée d'un mécanisme de chiffrement dit asymétrique, basé sur l'utilisation d'une paire de clés cryptographiques, des suites de chiffres et de lettres uniques, suffisamment longues et complexes pour ne pas être devinées par des tiers. La première, la clé privée, est détenue par l'utilisateur sur son téléphone. L'autre, la clé publique, est détenue par le site Web ou le service auquel il souhaite accéder. Lors de chaque connexion à un site, l'utilisateur s'identifie en résolvant un problème cryptographique, qui nécessite d'interroger la clé privée, gardée secrète.
L'idée à travers les "passkeys" est de reléguer au second plan ce mécanisme de sécurité en faisant en sorte que le problème cryptographique soit résolu simplement en déverrouillant un appareil de confiance, qui fait office d'intermédiaire pour valider l'opération. Concrètement, une fois configurées, ces clés d'accès doivent permettre aux utilisateurs d'accéder à leur compte Google, et demain à des sites Internet et des applications, à l'aide de la méthode qu'ils utilisent pour accéder à leur smartphone ou leur ordinateur. Il peut s'agir d'un scan de leur empreinte digitale, de la reconnaissance de leur visage ou du renseignement d'un code PIN, voire d'un schéma.
Plus rapides, plus pratiques, plus sécurisées
Avec ce système, les clés privés sont conservées uniquement sur l'appareil de confiance d'un individu qui devient son gestionnaire de mot de passe. Plus besoin de renseigner son mot de passe pour se connecter à ses services en ligne habituels, il suffit de configurer la clé d'accès une première fois, puis il sera possible d'y accéder par la suite en déverrouillant son appareil. Le dispositif a l'avantage de ne pas être vulnérable aux fuites de données car seules les clés publiques sont exposées du côté des éditeurs des sites. Les clés privées restent cantonnées dans les appareils des utilisateurs. Il faudrait donc surmonter la sécurité propre à chaque appareil pour obtenir des accès aux services. Une tâche beaucoup moins propice à des arnaques industrialisées. Il n'est pas non plus exposé aux opérations de phishing car aucun indice ne permet de deviner une clé privée.
Pour utiliser les "passkeys" sur votre compte Google, il faut vous rendre à l'adresse myaccount.google.com sur un navigateur Web, dans l'onglet "Sécurité" puis dans l'espace "Clés d'accès". Vous devrez alors renseigner votre mot de passe et lier votre compte à un téléphone ou une tablette puis cliquer sur le bouton "Utiliser les clés d'accès". Attention cependant, il est recommandé de renseigner dans votre compte un mail et un numéro de téléphone de récupération pour éviter de perdre vos clés d'accès si vous venez à perdre l'appareil de confiance sur lequel elles sont stockées. Et veillez à ne pas créer de clé d’accès sur un appareil dont vous n’êtes pas le propriétaire, car toute personne en mesure de le déverrouiller pourrait accéder à vos services Google sans avoir besoin de votre mot de passe.
De l'avis général, les "passkeys" répondent à la plupart des problématiques visant le grand public, de par leur résistance au phishing et aux fuites de données. Mais ils devront se déployer plus largement et surtout, être compatibles entre les applications, les terminaux et les services, pour constituer une véritable alternative à grande échelle, davantage qu'une méthode de connexion accessoire, propre à un petit panel de services. Pour ce faire, Google s'est allié à Apple et Microsoft et un nombre croissant de partenaires pour faire de cette méthode un standard de l'industrie à l'avenir, avec l'espoir de s'affranchir progressivement de la dépendance excessive à l'égard des mots de passe. Mais l'adoption des "passkeys" prendra du temps et sera d'abord réservée aux versions les plus récentes d'Android, iOS, Windows ou macOS. Et les clés d'accès devraient cohabiter pendant un moment avec les méthodes d'authentification traditionnelles.
- Fuite de données à l'Urssaf : des milliers d’usagers reçoivent les échéanciers d’autres cotisants par erreur
- Comment une intelligence artificielle a réussi à décoder les pensées d'un homme
- Apple : quels changements pour les iPhone avec iOS 17 ?
- Pourquoi il faut se méfier des QR codes
- Filtre anti-arnaque, ban des cyberharceleurs, porno : que prévoit la future loi du gouvernement sur le numérique ?
