IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google déploie Passkey, une nouvelle option d'authentification marquant un pas vers un avenir sans mot de passe.
Mais l'entreprise se garde bien d'en préciser les limites

Le , par Stéphane le calme

0PARTAGES

6  0 
Google a déployé mercredi une nouvelle option d’authentification que la grande enseigne de la technologie a qualifiée de « début de la fin du mot de passe ». Les passkey (littéralement « clés de sécurité ») sont une forme d'authentification des utilisateurs qui existe sous diverses formes depuis plus d'une décennie. Elles prennent généralement la forme de données biométriques stockées localement sur l'appareil de l'utilisateur et sont considérées comme l'une des méthodes d'authentification les plus résistantes aux menaces. De nombreuses entreprises de cybersécurité et experts en authentification considèrent également ces clés de sécurité comme une alternative viable aux noms d'utilisateur et aux mots de passe.

L'utilisation d'un mot de passe est la méthode la plus populaire pour accéder à un compte, que ce soit sur un ordinateur personnel ou une plateforme distante. Cela dit, cette méthode est confrontée à plusieurs enjeux, notamment la mémorisation, qui devient de plus en plus pertinente en raison de la multiplication du nombre de services nécessitant un mot de passe, et la compromission dont elle peut faire l'objet.

De nombreuses études montrent chaque année l'ampleur des violations de données liées à la compromission des mots de passe. Plusieurs facteurs sont à l'origine de ce problème, dont deux des plus connus sont la rétention, qui contraint parfois certains utilisateurs à partager leurs mots de passe avec leurs collègues, et l'utilisation du même mot de passe pour plusieurs comptes. Par exemple, selon une étude de la société de cybersécurité Yubico (inventeur de la clé de sécurité Yubikey) et l'institut Ponemon en 2019, 69 % des employés révèlent leurs mots de passe à leurs collègues.

Dans le cadre de l'édition 2020 de la journée du mot de passe, Balbix, fournisseur de système de sécurité pour aider les entreprises à transformer leur posture de cybersécurité et à réduire de manière quantifiable leur risque de violation, a publié un rapport sur l'état de l'utilisation des mots de passe. Le rapport montre que 99 % des utilisateurs réutilisent leur mot de passe sur près de trois comptes en raison du désir de commodité et de rapidité lors de la navigation sur les différents comptes. Le rapport de Balbix estime qu'en moyenne, chaque mot de passe d'utilisateur est partagé entre 2,7 comptes.

Face à la situation, les grandes enseignes technologiques Google, Apple et Microsoft optent pour une approche sans mot de passe.


Les Passkey de Google disponibles comme option de connexion

Les Passkey de Google, qui sont désormais disponibles pour tous les utilisateurs du fournisseur, incluent trois options : un code PIN, la reconnaissance faciale ou l'authentification par empreinte digitale. Lorsque la fonctionnalité est activée, Google demande une authentification chaque fois qu'un utilisateur se connecte ou tente d'accéder à des informations sensibles.

Selon un article du blog de sécurité Google publié parallèlement à l'annonce, les Passkey sont stockées localement sur l'ordinateur ou l'appareil mobile de l'utilisateur.

« Les données biométriques ne sont jamais partagées avec Google ou tout autre tiers - le verrouillage de l'écran ne déverrouille le mot de passe que localement », lit-on sur le blog.

Le message, coécrit par les ingénieurs de Google, Arnar Birgisson et Diana Smetters, a fait valoir que les mots de passe imposent « une grande responsabilité aux utilisateurs » et risquent de tomber entre les mains d'acteurs malveillants :

Les Passkey sont une alternative plus pratique et plus sûre aux mots de passe. Elles fonctionnent sur toutes les principales plateformes et navigateurs et permettent aux utilisateurs de se connecter en déverrouillant leur ordinateur ou leur appareil mobile avec leur empreinte digitale, la reconnaissance faciale ou un code PIN local.

L'utilisation de mots de passe impose une grande responsabilité aux utilisateurs. Choisir des mots de passe forts et les mémoriser sur différents comptes peut être difficile. De plus, même les utilisateurs les plus avertis sont souvent amenés à les abandonner lors de tentatives de phishing. Le 2SV (2FA/MFA) aide, mais met à nouveau la pression sur l'utilisateur avec des frictions supplémentaires et indésirables et ne protège pas toujours complètement contre les attaques de phishing et les attaques ciblées comme les "SIM swaps" pour la vérification par SMS. Les Passkey aident à résoudre tous ces problèmes.

Sauvegardées en local

Birgisson et Smetters ont ajouté que les Passkey sont une protection suffisamment solide pour que Google permette aux utilisateurs d'ignorer la connexion par mot de passe et la vérification en deux étapes lorsqu'une Passkey est activée. De plus, ils ont expliqué que tout est sauvegardé localement.

Lorsque vous ajoutez une Passkey à votre compte Google, nous commencerons à la demander lorsque vous vous connecterez ou effectuerez des actions sensibles sur votre compte. La Passkey elle-même est stockée sur votre ordinateur local ou votre appareil mobile, qui vous demandera votre biométrie de verrouillage d'écran ou votre code PIN pour confirmer qu'il s'agit bien de vous. Les données biométriques ne sont jamais partagées avec Google ou tout autre tiers - le verrouillage de l'écran ne déverrouille le Passkey que localement.

Contrairement aux mots de passe, les Passkey ne peuvent exister que sur vos appareils. Elles ne peuvent pas être écrites ou données accidentellement à un acteur malveillant. Lorsque vous utilisez une Passkey pour vous connecter à votre compte Google, cela prouve à Google que vous avez accès à votre appareil et que vous êtes en mesure de le déverrouiller. Pris ensemble, cela signifie que les Passkey vous protègent contre le phishing et toute mauvaise manipulation accidentelle à laquelle les mots de passe sont sujets, comme la réutilisation ou l'exposition lors d'une violation de données. Il s'agit d'une protection plus solide que la plupart des méthodes 2SV (2FA/MFA) offertes aujourd'hui, c'est pourquoi nous vous permettons d'ignorer non seulement le mot de passe, mais également la 2SV lorsque vous utilisez une Passkey. En fait, les Passkey sont suffisamment solides pour remplacer les clés de sécurité des utilisateurs inscrits à notre programme de protection avancée.

La création d'une Passkey sur votre compte Google en fait une option de connexion. Les méthodes existantes, y compris votre mot de passe, fonctionnent toujours au cas où vous en auriez besoin, par exemple lorsque vous utilisez des appareils qui ne prennent pas encore en charge les Passkey. Les Passkey sont encore nouvelles et il faudra un certain temps avant qu'elles ne fonctionnent partout. Cependant, la création d'une Passkey aujourd'hui présente toujours des avantages en matière de sécurité, car elle nous permet d'accorder une plus grande attention aux connexions qui se rabattent sur les mots de passe. Au fil du temps, nous les examinerons de plus en plus au fur et à mesure que les Passkey gagneront en soutien et en familiarité.
Le début et la fin du mot de passe ? Vraiment ?

Dans un deuxième article de blog intitulé « Le début de la fin du mot de passe », les chefs de produit Google Christiaan Brand et Sriram Karra ont écrit que bien que le déploiement de Passkey représente une étape pour s'éloigner des mots de passe, les utilisateurs pourront toujours choisir des mots de passe traditionnels et l' authentification multifacteurs car « comme tout nouveau départ, le changement conduisant à Passkey prendra du temps ».

L'introduction de Passkey de Google fait partie de la stratégie annoncée précédemment par l'entreprise pour commencer à supprimer progressivement les noms d'utilisateur et les mots de passe au profit de systèmes d'authentification plus solides pour mieux protéger les comptes. En mai dernier, Google a rejoint Apple et Microsoft pour étendre la prise en charge de la norme FIDO2 de la Fast Identity Online Alliance, une spécification d'authentification sans mot de passe qui est à la base de l'option de clé de sécurité de Google.

Pour Jack Poller, un analyste de stratégie d'entreprise, la transition vers l'authentification sans mot de passe « prend définitivement de la vitesse » et la mise en œuvre de Google est « très simple et facile à utiliser ».

« Le déploiement par Google de la prise en charge des Passkey, aux côtés d'Apple et de Microsoft, garantit que les composants fondamentaux de l'authentification sans mot de passe basée sur FIDO sont disponibles sur toutes les principales plates-formes », a-t-il déclaré. « Désormais, les développeurs peuvent ajouter une authentification sans mot de passe aux applications et aux sites Web en toute confiance que les utilisateurs peuvent passer au "sans mot de passe" tout en utilisant tous les principaux navigateurs, ordinateurs portables et appareils mobiles ».

Poller a déclaré qu'il s'attend à ce que les Passkey soient rapidement adoptées par les utilisateurs d'ici la fin de l'année.

Pour mémoire, depuis septembre 2021, toute personne possédant un compte Microsoft peut désormais supprimer complètement son mot de passe du compte pour disposer d'une autre alternative de sécurité. Le vice-président de Microsoft, Vasu Jakka, l'a annoncé dans un billet de blog :

« À partir d'aujourd'hui, vous pouvez désormais supprimer complètement le mot de passe de votre compte Microsoft. Utilisez l'application Microsoft Authenticator, Windows Hello, une clé de sécurité ou un code de vérification envoyé à votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety, etc. »

Apple, pour sa part, a fait une démo de sa technologie d'authentification sans mot de passe durant l'édition 2022 de la WWDC. Apple a montré comment les Passkey sont sauvegardées dans le trousseau iCloud et peuvent être synchronisées sur Mac, iPhone, iPad et Apple TV avec un chiffrement de bout en bout. Les utilisateurs pourront également se connecter à des sites Web et à des applications sur des appareils non Apple à l'aide d'un iPhone ou d'un iPad pour scanner un code QR et Touch ID ou Face ID pour s'authentifier.

Lors de la conférence RSA 2023, le PDG de 1Password, Jeff Shiner, a déclaré que son entreprise adoptait les Passkey. Il a ajouté que 75 % des personnes interrogées dans une nouvelle étude menée par le gestionnaire de mots de passe étaient prêtes à utiliser des Passkey, même si l'adoption des mécanismes d'authentification sans mot de passe « prendra encore plusieurs années ».

Une approche qui a quand même ses limites

Dans sa présentation, Google n'aborde pas certaines questions importantes qui pourraient intéressées le public. Nous pouvons en soulever quelques-unes :
  • Quels sont les risques potentiels liés à l’utilisation des passkeys ? Par exemple, que se passe-t-il si l’appareil de l’utilisateur est perdu, volé ou endommagé ? Que se passe-t-il si la reconnaissance faciale ou l’empreinte digitale ne fonctionne pas correctement ou est compromise ?
  • Quels sont les défis liés à l’adoption des passkeys, notamment pour les applications héritées qui ne fonctionnent qu’avec des mots de passe ?
  • Quelles sont les alternatives aux passkeys proposées par d’autres acteurs du marché de la cybersécurité et comment peuvent-elles être interconnectées ? En clair, est-ce qu'une alternative aux passkeys me permettra par exemple de m'authentifier sur mon compte Google ou dois-je nécessairement passer par la solution de Google ?

Les voix indépendantes, telles que celle d'experts en cybersécurité, des associations de consommateurs ou des organismes de régulation, pourraient apporter un regard critique sur les Passkeys et les intérêts de Google.

Source : Google (1, 2)

Et vous ?

Que pensez-vous des alternatives aux mots de passe comme Windows Hello, Microsoft Authenticator, la clé de sécurité ou le code de vérification envoyé à votre téléphone ou par e-mail ?
Êtes-vous tenté d'essayer l'une d'elles (ou plusieurs) ? Dans quelle mesure ?
Si vous en avez déjà essayé au moins une, qu'en avez-vous pensé ?
Que pensez-vous des Passkeys de Google ? Le nouveau cheval de Troie de Google ?
Des retombées sur des outils comme les gestionnaires de mots de passe si ces alternatives venaient à être adoptées massivement par internet et les internautes ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 11/10/2023 à 20:32
Citation Envoyé par JPLAROCHE Voir le message
Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.

Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…
Surtout que Google a perdu pas mal de crédibilité au niveau de la sécurité quand ils ont annoncé il y quelques mois que leur application de gestion des tokens les synchronisait (donc clés privées) sur leur Cloud et que ça n'impactait pas la sécurité...

Ils sont très mal placés pour donner des leçons, et puis en plus, la biométrie et une GAFAM, ça fait encore plus de données privées...

Google cherche à rendre les mots de passe obsolètes en invitant les utilisateurs à créer des codes d'accès pour déverrouiller leurs comptes et appareils à l'aide d'une empreinte digitale, d'un scan du visage ou d'un numéro d'identification personnel.
C'est une des tentatives les plus grosses pour essayer de piquer encore plus de données à leurs utilisateurs. Bref.
4  0 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 11/10/2023 à 22:55
microsoft et google voulant la fin du mot de passe, qui pour autant est l'option la plus securisé que l'on ai pour deverouiller nos devices...
3  0 
Avatar de JPLAROCHE
Membre expérimenté https://www.developpez.com
Le 11/10/2023 à 20:23
Citation Envoyé par Nancy Rey Voir le message
Google envisage de supprimer les mots de passe en faisant des "passkeys" l'option par défaut

Bref, je n'ai pas de wifi et je n'en veux pas, je ne me sers pas du téléphone comme un ordi (pas de code PIN) . Chaque chose à sa place? Je n'ai pas de caméra ? si vous me proposez un dongle avec mon empreinte cela n'est pas la garantie que c'est moi, il y a multiple façon avec les empreintes ...... alors, on va faire comment… certainement comme pour vendre sa voiture , si vous avez une voiture achetée avant 2017 vous ne pouvez pas accéder au site pour signaler la vente de votre voiture puisque vous n'avez pas reçu votre code qu'il faut garder précieusement dans un coffre, car il vous permet de faire les démarches administratives et le demande .... encore un truc bien pensé, et je vois les personnes âgées paniquées à mort... bref à tout informatisé pour supprimer le personnel ont fini par aller droit dans le mur.

Un bon logiciel, tel KeepassC protège votre mon de passe et c'est gratuit .

Dommage, étant un informaticien de la première heure, j'eusse pensé que cela apporterait un soulagement et non pas des aberrations…
1  1 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 12/10/2023 à 11:52
Citation Envoyé par Aiekick Voir le message
microsoft et google voulant la fin du mot de passe, qui pour autant est l'option la plus securisé que l'on ai pour deverouiller nos devices...
C'est sans doute vrai pour déverrouiller un appareil, mais c'est faux pour un site web ou une authentification à distance.

Dès que c'est à distance, il y a un risque :
  • De vol des couples id/pass sur le serveur distant s'il est compromis
  • De vol des couples id/pass sur le client s'il est compromis
  • De vol des couples id/pass par fishing (pas seulement fishing moche par Google <w54867@liberiamail.xxx>, mais aussi le fishing parfait avec un site identique à l'original avec votre vrai nom et quelques infos perso pour mettre en confiance)


Dans ma boîte, tous les ans ils font une tentative de fishing interne (assez quelconque, même pas personnalisée, somme toute assez similaire à tous les fishing réels qu'on reçoit régulièrement), et à chaque fois il y a quelque chose comme 5 à 10% des gens qui donnent volontairement leurs identifiants. C'est quand même la preuve que c'est insécurisable...

Comment savoir qu'on est sur le bon site ? En vrai c'est impossible. Il faudrait vérifier l'url (avec tous les typosquattages possibles) et le certificat, sachant que de temps en temps des clés des autorités de certification sont volées, et que de toutes façons, les plus grosses sociétés passent leur temps à changer leurs url et leurs certificats sans jamais rien communiquer.

Avec l'authentification sans mot de passe à la sauce FIDO, le site web envoie un défi par clé publique et le client y répond en utilisant sa clé privée. À chaque fois, on est cryptographiquement sûr de savoir qui est qui.

Alors, ensuite arrivent les détails. Comment gérer des couples de clés cryptographiques ? Idéalement, elles sont stockées dans des TPM "inviolables" (y'en a dans les PC et les téléphones, faut bien que ça serve à quelque chose )...
J'ai pas trop vu le détail du schéma de google, mais je suppose qu'ils se proposent "bien aimablement" de sauvegarder tous les identifiants bien au chaud sur leurs serveurs et de ne jamais les divulguer à qui leur demanderait... Forcément, si c'était juste dans le téléphone, la perte du téléphone sans sauvegarde, c'est la fin du monde (si vous m'avez lu jusqu'ici, vous aurez compris que Me Michu ne va pas lire la doc du protocole de sauvegarde des clés cryptographiques).

Sinon, on peut s'acheter un token cryptographique (yubikey... ; on peut en fabriquer un aussi un pas très sécurisé mais très économique avec un raspberry pico). On reste propriétaire de ses clés, et propriétaire de la procédure de backup.
0  0