Dans les pas de Microsoft et d'Apple, Google tourne à son tour le dos aux mots de passe, devenus les maillons faibles de la sécurité en ligne. La firme de Mountain View met en avant un système de passkeys, jugé beaucoup plus robuste face à des attaques toujours plus perfectionnées. Présentation.
Après Apple, qui a implémenté une solution proche dans ses iPhones depuis iOS 16.0 sortie en septembre dernier, et dans les pas de Microsoft, qui travaille sur des dispositifs similaires depuis de nombreuses années, Google dégaine à son tour ce qui pourrait signer la fin des mots de passe traditionnels, les passkeys. Les mots de passe ont en effet fait leur temps. Les risques qu'ils charrient sont devenus ingérables.
Tout d'abord, les utilisateurs ont souvent du mal à créer et à retenir des sésames uniques et forts pour chaque compte, ce qui les amène à opter pour des chaînes plus simples, plus faciles à deviner ou réutilisées sur plusieurs comptes. Le mot de passe le plus utilisé en France est… « 123456 » ! De plus, les tentatives d'hameçonnage, toujours plus évoluées, réussissent à tromper les utilisateurs les plus avertis. Enfin, les mots de passe sont vulnérables aux violations des données et aux attaques de force brute, où les pirates tentent systématiquement de les deviner en utilisant des combinaisons potentielles jusqu'à ce qu'ils trouvent la bonne. Ces faiblesses contribuent à rendre les comptes en ligne moins sécurisés et exposent les utilisateurs à des risques accrus de vol d'identité et d'autres cyberattaques.
Une clé cryptographique stockée dans l'appareil
Techniquement, ce dispositif moderne fonctionne en stockant une clé privée unique sur l'appareil de l'utilisateur, tandis que la clé publique correspondante est mise en ligne sur son compte Google, Apple ou Microsoft. Lors de la connexion à un service, l'appareil est invité à résoudre un « challenge » uniquement soluble grâce à la clé privée. L'utilisateur doit approuver ce processus en déverrouillant l'appareil à l'aide d'un code PIN, de la reconnaissance faciale ou d'une empreinte digitale. La maison-mère vérifie ensuite la signature à l'aide de la clé publique, assurant ainsi à la fois l'identité de l'utilisateur et l'authenticité de la connexion, et renvoie un certificat au service. L'utilisateur ne connaît pas sa passkey, qui ne pourra pas finir sur un petit calepin ou dans un échange de mails. Tout se passe dans la mémoire chiffrée du téléphone.
Les passkeys s'appuient sur les protocoles et les normes développés par la FIDO Alliance et le groupe de travail W3C WebAuthn, ce qui garantit une compatibilité avec toutes les plateformes et tous les navigateurs qui adoptent ces normes. Elles sont également liées aux clés de sécurité, une offre plus robuste pour les comptes à risque élevé. Les clés, qui ne peuvent être utilisées que pour un seul compte, éliminant les risques liés à la réutilisation des mots de passe, sont synchronisées à l'aide de services comme Google Password Manager ou iCloud Keychain.
Des freins à l'adoption
Le niveau de sécurité est assurément plus élevé, mais le déploiement de cette solution va forcément se heurter à des limitations structurelles. Premièrement, une clé est nécessairement liée aux appareils de l'utilisateur : inutile de penser se connecter depuis un ordinateur ou un téléphone tiers. Ensuite, si les grands opérateurs travaillent à trouver une solution permettant de partager son trousseau de passkeys d'un écosystème à un autre (Android, iOs, Mac Os, Windows, etc.), aucun compromis n'a encore émergé.
Ce problème peut être encore plus important en cas de vol ou de casse de l'appareil… Si l'on ne possède aucune autre machine connectée à son service d'authentification et que l'on n'a pas renseigné d'e-mail de récupération, les comptes sont perdus. Les opérateurs sont bien conscients de ces limites et ne prévoient pas la fin des mots de passe traditionnels dans un avenir proche.
