Google a déployé mercredi une nouvelle option d’authentification que la grande enseigne de la technologie a qualifiée de « début de la fin du mot de passe ». Les passkey (littéralement « clés de sécurité ») sont une forme d'authentification des utilisateurs qui existe sous diverses formes depuis plus d'une décennie. Elles prennent généralement la forme de données biométriques stockées localement sur l'appareil de l'utilisateur et sont considérées comme l'une des méthodes d'authentification les plus résistantes aux menaces. De nombreuses entreprises de cybersécurité et experts en authentification considèrent également ces clés de sécurité comme une alternative viable aux noms d'utilisateur et aux mots de passe.L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, cette méthode est confrontée à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont elle peut faire l'objet.
De nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues.
Dans le cadre de l'édition 2020 de la journée du mot de passe, Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes.
Face à la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.
Les Passkey de Google disponibles comme option de connexion
Les Passkey de Google, qui sont désormais disponibles pour tous les utilisateurs du fournisseur, incluent trois options : un code PIN, la reconnaissance faciale ou l'authentification par empreinte digitale. Lorsque la fonctionnalité est activée, Google demande une authentification chaque fois qu'un utilisateur se connecte ou tente d'accéder à des informations sensibles.
Selon un article du blog de sécurité Google publié parallèlement à l'annonce, les Passkey sont stockées localement sur l'ordinateur ou l'appareil mobile de l'utilisateur.
« Les données biométriques ne sont jamais partagées avec Google ou tout autre tiers - le verrouillage de l'écran ne déverrouille le mot de passe que localement », lit-on sur le blog.
Le message, coécrit par les ingénieurs de Google, Arnar Birgisson et Diana Smetters, a fait valoir que les mots de passe imposent « une grande responsabilité aux utilisateurs » et risquent de tomber entre les mains d'acteurs malveillants :
Les Passkey sont une alternative plus pratique et plus sûre aux mots de passe. Elles fonctionnent sur toutes les principales plateformes et navigateurs et permettent aux utilisateurs de se connecter en déverrouillant leur ordinateur ou leur appareil mobile avec leur empreinte digitale, la reconnaissance faciale ou un code PIN local.
L'utilisation de mots de passe impose une grande responsabilité aux utilisateurs. Choisir des mots de passe forts et les mémoriser sur différents comptes peut être difficile. De plus, même les utilisateurs les plus avertis sont souvent amenés à les abandonner lors de tentatives de phishing. Le 2SV (2FA/MFA) aide, mais met à nouveau la pression sur l'utilisateur avec des frictions supplémentaires et indésirables et ne protège pas toujours complètement contre les attaques de phishing et les attaques ciblées comme les "SIM swaps" pour la vérification par SMS. Les Passkey aident à résoudre tous ces problèmes.
L'utilisation de mots de passe impose une grande responsabilité aux utilisateurs. Choisir des mots de passe forts et les mémoriser sur différents comptes peut être difficile. De plus, même les utilisateurs les plus avertis sont souvent amenés à les abandonner lors de tentatives de phishing. Le 2SV (2FA/MFA) aide, mais met à nouveau la pression sur l'utilisateur avec des frictions supplémentaires et indésirables et ne protège pas toujours complètement contre les attaques de phishing et les attaques ciblées comme les "SIM swaps" pour la vérification par SMS. Les Passkey aident à résoudre tous ces problèmes.
Sauvegardées en local
Birgisson et Smetters ont ajouté que les Passkey sont une protection suffisamment solide pour que Google permette aux utilisateurs d'ignorer la connexion par mot de passe et la vérification en deux étapes lorsqu'une Passkey est activée. De plus, ils ont expliqué que tout est sauvegardé localement.
Lorsque vous ajoutez une Passkey à votre compte Google, nous commencerons à la demander lorsque vous vous connecterez ou effectuerez des actions sensibles sur votre compte. La Passkey elle-même est stockée sur votre ordinateur local ou votre appareil mobile, qui vous demandera votre biométrie de verrouillage d'écran ou votre code PIN pour confirmer qu'il s'agit bien de vous. Les données biométriques ne sont jamais partagées avec Google ou tout autre tiers - le verrouillage de l'écran ne déverrouille le Passkey que localement.
Contrairement aux mots de passe, les Passkey ne peuvent exister que sur vos appareils. Elles ne peuvent pas être écrites ou données accidentellement à un acteur malveillant. Lorsque vous utilisez une Passkey pour vous connecter à votre compte Google, cela prouve à Google que vous avez accès à votre appareil et que vous êtes en mesure de le déverrouiller. Pris ensemble, cela signifie que les Passkey vous protègent contre le phishing et toute mauvaise manipulation accidentelle à laquelle les mots de passe sont sujets, comme la réutilisation ou l'exposition lors d'une violation de données. Il s'agit d'une protection plus solide que la plupart des méthodes 2SV (2FA/MFA) offertes aujourd'hui, c'est pourquoi nous vous permettons d'ignorer non seulement le mot de passe, mais également la 2SV lorsque vous utilisez une Passkey. En fait, les Passkey sont suffisamment solides pour remplacer les clés de sécurité des utilisateurs inscrits à notre programme de protection avancée.
La création d'une Passkey sur votre compte Google en fait une option de connexion. Les méthodes existantes, y compris votre mot de passe, fonctionnent toujours au cas où vous en auriez besoin, par exemple lorsque vous utilisez des appareils qui ne prennent pas encore en charge les Passkey. Les Passkey sont encore nouvelles et il faudra un certain temps avant qu'elles ne fonctionnent partout. Cependant, la création d'une Passkey aujourd'hui présente toujours des avantages en matière de sécurité, car elle nous permet d'accorder une plus grande attention aux connexions qui se rabattent sur les mots de passe. Au fil du temps, nous les examinerons de plus en plus au fur et à mesure que les Passkey gagneront en soutien et en familiarité.
Contrairement aux mots de passe, les Passkey ne peuvent exister que sur vos appareils. Elles ne peuvent pas être écrites ou données accidentellement à un acteur malveillant. Lorsque vous utilisez une Passkey pour vous connecter à votre compte Google, cela prouve à Google que vous avez accès à votre appareil et que vous êtes en mesure de le déverrouiller. Pris ensemble, cela signifie que les Passkey vous protègent contre le phishing et toute mauvaise manipulation accidentelle à laquelle les mots de passe sont sujets, comme la réutilisation ou l'exposition lors d'une violation de données. Il s'agit d'une protection plus solide que la plupart des méthodes 2SV (2FA/MFA) offertes aujourd'hui, c'est pourquoi nous vous permettons d'ignorer non seulement le mot de passe, mais également la 2SV lorsque vous utilisez une Passkey. En fait, les Passkey sont suffisamment solides pour remplacer les clés de sécurité des utilisateurs inscrits à notre programme de protection avancée.
La création d'une Passkey sur votre compte Google en fait une option de connexion. Les méthodes existantes, y compris votre mot de passe, fonctionnent toujours au cas où vous en auriez besoin, par exemple lorsque vous utilisez des appareils qui ne prennent pas encore en charge les Passkey. Les Passkey sont encore nouvelles et il faudra un certain temps avant qu'elles ne fonctionnent partout. Cependant, la création d'une Passkey aujourd'hui présente toujours des avantages en matière de sécurité, car elle nous permet d'accorder une plus grande attention aux connexions qui se rabattent sur les mots de passe. Au fil du temps, nous les examinerons de plus en plus au fur et à mesure que les Passkey gagneront en soutien et en familiarité.
Dans un deuxième article de blog intitulé « Le début de la fin du mot de passe », les chefs de produit Google Christiaan Brand et Sriram Karra ont écrit que bien que le déploiement de Passkey représente une étape pour s'éloigner des mots de passe, les utilisateurs pourront toujours choisir des mots de passe traditionnels et l' authentification multifacteurs car « comme tout nouveau départ, le changement conduisant à Passkey prendra du temps ».
L'introduction de Passkey de Google fait partie de la stratégie annoncée précédemment par l'entreprise pour commencer à supprimer progressivement les noms d'utilisateur et les mots de passe au profit de systèmes d'authentification plus solides pour mieux protéger les comptes. En mai dernier, Google a rejoint Apple et Microsoft pour étendre la prise en charge de la norme FIDO2 de la Fast Identity Online Alliance, une spécification d'authentification sans mot de passe qui est à la base de l'option de clé de sécurité de Google.
Pour Jack Poller, un analyste de stratégie d'entreprise, la transition vers l'authentification sans mot de passe « prend définitivement de la vitesse » et la mise en œuvre de Google est « très simple et facile à utiliser ».
« Le déploiement par Google de la prise en charge des Passkey, aux côtés d'Apple et de Microsoft, garantit que les composants fondamentaux de l'authentification sans mot de passe basée sur FIDO sont disponibles sur toutes les principales plates-formes », a-t-il déclaré. « Désormais, les développeurs peuvent ajouter une authentification sans mot de passe aux applications et aux sites Web en toute confiance que les utilisateurs peuvent passer au "sans mot de passe" tout en utilisant tous les principaux navigateurs, ordinateurs portables et appareils mobiles ».
Poller a déclaré qu'il s'attend à ce que les Passkey soient rapidement adoptées par les utilisateurs d'ici la fin de l'année.
Pour mémoire, depuis septembre 2021, toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe du compte pour disposer d'une autre alternative de sécurité. Le vice-président de Microsoft, Vasu Jakka, l'a annoncé dans un billet de blog :
« À partir d'aujourd'hui, vous pouvez désormais supprimer complètement le mot de passe de votre compte Microsoft. Utilisez l'application Microsoft Authenticator, Windows Hello, une clé de sécurité ou un code de vérification envoyé à votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc. »
Apple, pour sa part, a fait une démo de sa technologie d'authentification sans mot de passe durant l'édition 2022 de la WWDC. Apple a montré comment les Passkey sont sauvegardées dans le trousseau iCloud et peuvent être synchronisées sur Mac, iPhone, iPad et Apple TV avec un chiffrement de bout en bout. Les utilisateurs pourront également se connecter à des sites Web et à des applications sur des appareils non Apple à l'aide d'un iPhone ou d'un iPad pour scanner un code QR et Touch ID ou Face ID pour s'authentifier.
Lors de la conférence RSA 2023, le PDG de 1Password, Jeff Shiner, a déclaré que son entreprise adoptait les Passkey. Il a ajouté que 75 % des personnes interrogées dans une nouvelle étude menée par le gestionnaire de mots de passe étaient prêtes à utiliser des Passkey, même si l'adoption des mécanismes d'authentification sans mot de passe « prendra encore plusieurs années ».
Une approche qui a quand même ses limites
Dans sa présentation, Google n'aborde pas certaines questions importantes qui pourraient intéressées le public. Nous pouvons en soulever quelques-unes :
- Quels sont les risques potentiels liés à l’utilisation des passkeys ? Par exemple, que se passe-t-il si l’appareil de l’utilisateur est perdu, volé ou endommagé ? Que se passe-t-il si la reconnaissance faciale ou l’empreinte digitale ne fonctionne pas correctement ou est compromise ?
- Quels sont les défis liés à l’adoption des passkeys, notamment pour les applications héritées qui ne fonctionnent qu’avec des mots de passe ?
- Quelles sont les alternatives aux passkeys proposées par d’autres acteurs du marché de la cybersécurité et comment peuvent-elles être interconnectées ? En clair, est-ce qu'une alternative aux passkeys me permettra par exemple de m'authentifier sur mon compte Google ou dois-je nécessairement passer par la solution de Google ?
Les voix indépendantes, telles que celle d'experts en cybersécurité, des associations de consommateurs ou des organismes de régulation, pourraient apporter un regard critique sur les Passkeys et les intérêts de Google.
Source : Google (1, 2)
Et vous ?
Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ? Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ? Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ? Que pensez-vous des Passkeys de Google ? Le nouveau cheval de Troie de Google ? Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ? 
Envoyé par JPLAROCHE
