Fin du mot de passe : Google se met aux clés d’identification

Google a présenté, tout début mai, une nouvelle option de clé d’identification qu’il qualifie de « début de la fin du mot de passe ».

Les passkeys sont une manière d’authentifier l'utilisateur qui existe sous différentes formes depuis plus d'une décennie. Ils prennent généralement la forme de données biométriques stockées localement sur l'appareil de l'utilisateur et sont considérés comme l'une des méthodes d'authentification les plus résistantes aux menaces. De nombreuses entreprises de cybersécurité et experts en authentification considèrent également les clés d’identification comme une alternative de premier ordre aux noms d'utilisateur et aux mots de passe.

Les passkeys de Google, qui sont désormais disponibles pour tous les utilisateurs du fournisseur, comprennent trois options : un code PIN, la reconnaissance faciale ou l'authentification par empreinte digitale. Lorsque la fonction est activée, Google demande une authentification chaque fois qu'un utilisateur se connecte ou tente d'accéder à des informations sensibles.

Selon un billet du blog de sécurité de Google publié en même temps que l'annonce, les clés d’identification sont stockées localement sur l'ordinateur ou l'appareil mobile de l'utilisateur.

« Les données biométriques ne sont jamais partagées avec Google ou tout autre tiers. Le verrouillage de l'écran ne déverrouille la clé que localement », peut-on lire sur le blog.

Le billet, rédigé par les ingénieurs de Google Arnar Birgisson et Diana Smetters, explique que les mots de passe font peser « une grande responsabilité sur les utilisateurs » et risquent de tomber entre les mains d'acteurs malveillants.

« Il peut être difficile de choisir des mots de passe forts et de s'en souvenir pour plusieurs comptes », rappellent-ils. « En outre, même les utilisateurs les plus avertis sont souvent trompés et amenés à les donner lors de tentatives d'hameçonnage. Un [second facteur de validation] (2FA/MFA) est utile, mais il impose à l'utilisateur des contraintes supplémentaires et non souhaitées, et ne protège toujours pas totalement contre les attaques par hameçonnage et les attaques ciblées telles que les "échanges de cartes SIM" [le fameux SIMswapping, NDLR] pour la vérification par SMS. Les clés USB permettent de résoudre tous ces problèmes ».

Amar Birgisson et Diana Smetters ajoutent que les clés d’identification constituent une protection suffisamment forte pour que Google permette aux utilisateurs de ne pas se connecter avec un mot de passe et de ne pas procéder à une vérification en deux étapes lorsqu'un passkey est activé. En outre, ils estiment que « les passkeys sont suffisamment puissants pour remplacer les clés de sécurité pour les utilisateurs inscrits à notre programme de protection avancée ».

Dans un second billet de blog intitulé « Le début de la fin du mot de passe », Christiaan Brand et Sriram Karra, chefs de produit chez Google, expliquent que, bien que le déploiement des passkeys constitue un pas en avant par rapport aux mots de passe, les utilisateurs pourront toujours choisir des mots de passe traditionnels et la vérification en deux étapes, car « comme tout nouveau départ, le passage aux passkeys prendra du temps ».

L'introduction des clés d’identification par Google s'inscrit dans le cadre de la stratégie annoncée précédemment par l'entreprise, à savoir l'abandon progressif des noms d'utilisateur et des mots de passe au profit de systèmes d'authentification plus robustes afin de mieux protéger les comptes. En mai 2022, Google a rejoint Apple et Microsoft en élargissant le support de la norme FIDO2 de l'Alliance Fast Identity Online, une spécification d'authentification sans mot de passe qui est à la base de l'option « passkey » de Google.