Cela fait des années qu’on évoque un futur sans mots de passe. Et si le projet a encore du chemin à faire, celui-ci progresse. Google, par exemple, s’apprête à prendre en charge les « passkeys », une technologie destinée à remplacer les mots de passe pour l’inscription et la connexion aux services en ligne, sur Android.
Dans un article publié cette semaine, le site 9to5Google publie une analyse du code de la dernière version Google Play Services. Dans celui-ci, le média indique avoir découvert des chaînes de caractères (du texte) que Google pourrait utiliser plus tard lorsqu’il adoptera les passkey.
« Bonjour les passkeys, adieu les mots de passe », peut-on lire sur l’une de ces chaînes. Une autre chaîne de caractère découverte par 9to5Google explique que les passkeys fournissent une meilleure protection par rapport aux mots de passe, et indique également que ces clés sont sauvegardées de manière sécurisée dans le compte Google.
Passkey, c’est quoi ?
Le gros inconvénient des mots de passe, c’est que les utilisateurs ont tendance à utiliser des mots de passe faibles mais faciles à retenir, et à réutiliser les mêmes mots de passe pour plusieurs services en ligne. Ce problème est déjà partiellement résolu grâce aux gestionnaires de mots de passe (qui permettent d’avoir des mots de passe très compliqués sans avoir à les retenir) et l’authentification à deux facteurs (qui empêche les hackers d’accéder à votre compte même s’ils ont votre mot de passe). Parmi les gestionnaires les plus connus, NordPass et LastPass sont les deux références.
Néanmoins, l’alliance FIDO ou Fast IDentity Online (dont Apple et Google sont membres) souhaite aller plus loin, en permettant aux internautes d’accéder aux services en ligne sans avoir de mot de passe à saisir. Comment ? Grâce à des clés cryptographiques.
« Les protocoles FIDO utilisent des techniques de cryptographie à clé publique standard pour fournir une authentification plus forte. Lors de l’inscription à un service en ligne, l’appareil client de l’utilisateur crée une nouvelle paire de clés. Il conserve la clé privée et enregistre la clé publique auprès du service en ligne », peut-on lire sur le site de l’alliance FIDO. « L’authentification est effectuée par le dispositif client prouvant la possession de la clé privée au service en signant un challenge. Les clés privées du client ne peuvent être utilisées qu’après avoir été déverrouillées localement sur l’appareil par l’utilisateur. Le déverrouillage local est accompli par une action conviviale et sécurisée telle que glisser un doigt, entrer un code PIN, parler dans un microphone, insérer un appareil de second facteur ou appuyer sur un bouton. »
En d’autres termes, si ce standard est largement adopté (par Apple, par Google, mais aussi par les services en ligne), tout ce que vous aurez à faire pour ouvrir votre compte sur un site web, c’est de déverrouiller votre smartphone. C’est plus pratique, mais aussi plus sécurisé que d’utiliser un mot de passe.
En revanche, l’ensemble de la sécurité de vos données en ligne dépendra donc de la sécurité de votre compte Google ou de votre compte Apple. De plus, dire que cela permettra d’avoir une expérience 100 % sans mots de passe est trompeur. En effet, il vous faudra quand même retenir le mot de passe de votre compte Apple ou Google, mais ce sera le seul mot de passe que vous aurez à mémoriser.
Pour rappel, la conférence Google I/O 2022 est programmée pour les 11 et 12 mai. Est-il possible que Google présente cette nouveauté lors de cet événement ?
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
Thomas passkey ?
Tu sors!