Google explique pourquoi vous devriez privilégier les "clés de sécurité" aux mots de passe

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 13 octobre 2023 à 08h00

Thiébaut Meyer, le monsieur cyber de Google Cloud, aux Assises de la sécurité 2023 © Alexandre Boero pour Clubic

Au micro de Clubic, Thiébaut Meyer, directeur cybersécurité chez Google Cloud, insiste sur l'intérêt des fameux passkeys, ou clés de sécurité, qui se destinent à faire entrer la protection en ligne dans une nouvelle ère, en écartant progressivement les mots de passe.

L'authentification de l'utilisateur a toujours été un serpent de mer, et la solution parfaite n'a encore jamais été trouvée, il faut le reconnaître. Selon les circonstances, il ne faut pas plus de quelques minutes, voire quelques secondes à un hacker pour contourner un mot de passe de 8 caractères. « Demandez à quelqu'un d'avoir un mot de passe de 20 caractères par site ou application, et de les changer tous les 6 mois », vous verrez que c'est infaisable, nous prévient-on.

Les gestionnaires de mots de passe pouvant aussi faillir, Google a revu ses orientations en poussant la double authentification (code de validation, SMS, etc.), car elle n'était finalement plus satisfaite du seul mot de passe comme protection. Mais la firme de Mountain View a voulu aller plus loin avec les clés de sécurité. Nous avons discuté de l'intérêt de cette avancée aux Assises de la sécurité à Monaco avec Thiébaut Meyer, directeur cybersécurité du côté de Google Cloud.

Les clés de sécurité, l'alternative plus fiable et facile aux mots de passe

Depuis quelques jours, Google a intensifié sa campagne pour éliminer les mots de passe en activant par défaut une option qui permet de les ignorer dès que possible (et qui peut être désactivée depuis les paramètres) en les remplaçant par une passkey. Cette dernière peut prendre la forme d'une empreinte digitale, d'un code PIN ou d'un scan de votre visage. Un gain de temps de 40 % pour déverrouiller votre appareil est évoqué, en comparaison d'un mot de passe.

« Avec le mot de passe, on partage un secret entre l'utilisateur et le site sur lequel on s'authentifie. Avec les passkeys, c'est différent : chaque utilisateur aura une clé d'accès par site, clé qu'il n'a plus besoin de connaître, de noter ou de garder dans un coin de sa tête », explique Thiébaut Meyer.

Les clés de sécurité, l'avenir de la connexion sur Google © Google

Comment fonctionne les passkeys ?

Prenez votre smartphone dans lequel est stockée la clé. Pour le déverrouiller, vous utiliserez l'authentification du téléphone, qui aidera à déverrouiller la clé, puis à l'envoyer de manière transparente vers le site sur lequel vous souhaitez vous authentifier. « On a à la fois la simplicité d'usage et le niveau de sécurité, puisqu'on a affaire à une chaîne complexe que l'utilisateur n'a pas à retenir », précise Thiébaut Meyer.

Les passkeys peuvent être utilisées dans un environnement Safari, Google ou Microsoft. Un peu partout, donc. Google l'affirme : ce travail a été mené en collaboration avec d'autres fournisseurs travaillant dans l'Alliance FIDO, dont l'entreprise fait partie (et qui regroupe de nombreuses sociétés développant les normes d'authentification), tout comme Uber et eBay. « C'est en travaillant avec d'autres acteurs que l'on arrive à avoir des standards qui soient ouverts, partagés et utilisés par tous. C'est comme cela qu'on arrive à monter le niveau de sécurité. Clairement, ce n'est pas en travaillant chacun sur notre propre protocole que l'on y arrivera », constate celui qui œuvre dans la cybersécurité depuis de longues années.

L'idée de Google n'est pas de tordre le cou aux mots de passe dans trois mois, mais bien de convaincre les utilisateurs quant à l'évolution que représentent les clés de sécurité, et à l'amélioration de la sécurité et du confort. Quant à rendre les passkeys obligatoires, ce n'est aujourd'hui pas une option.

Pas question d'imposer les passkeys aux utilisateurs, pour l'instant…

« Même sans l'imposer, je pense que les gens verront assez vite le bénéfice de cette solution, notamment par l'ergonomie et la simplicité d'usage qu'on en tire via son téléphone. Peut-être que certains sites l'imposeront, ils sont libres. Mais personnellement, je pense que tout se fera naturellement », nous explique Thiébaut Meyer, confiant quant à l'adoption des passkeys par le grand public. Un grand public qui a pourtant du mal à bousculer ses habitudes. Mais Rome ne s'est pas faite en un jour.

Le logo Google Cloud aux Assises de la sécurité 2023 © Alexandre Boero pour Clubic

Malgré les apports indéniables du concept de la clé de sécurité, il ne faut pas non plus la voir comme la solution miracle qui réglera tous les problèmes de la planète cyber. Prenons l'exemple de la biométrie et de l'empreinte. Le scénario n'est pas banal, on vous l'accorde, mais un individu malveillant est tout à fait capable de relever votre empreinte sur une table, une bouteille ou autre. Suffisant pour contourner cette clé de sécurité ?

« Le risque zéro n'existera jamais, pas plus dans cette technologie que dans une autre. L'idée reste que lorsqu'on essaie de trouver un autre protocole, un autre standard de sécurité, on se demande comment on peut globalement élever le niveau. Et là, avec les passkeys, je pense que par rapport au mot de passe, on monte d'un cran la sécurité », se défend Thiébaut Meyer. « Oui, on peut retrouver votre empreinte, mon empreinte. Encore faut-il, une fois qu'on l'a, que l'on me vole mon téléphone. Mais ce sera définitivement plus difficile que de voler mon mot de passe. »

La discussion avec Thiébaut Meyer nous rappelle l'importance cruciale de repenser la manière dont nous assurons notre sécurité en ligne. Si aucune solution n'est totalement infaillible, les passkeys se dessinent comme une méthode prometteuse pour grandement atténuer le risque de se faire piéger ou de voir son mot de passe tomber dans une base de données piratée, puis récupérée et exploitée par les pirates.

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Cyber sécurité

Google

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Ezeta

Si on vole le téléphone, on a l’empreinte digitale avec: on tripote tellement l’écran qu’il est nécessairement couvert d’empreintes digitales.

Sinon, la solution de la clef sur téléphone + code (ou empreinte biométrique) est à mon sens équivalent à stocker les mots de passe en local (générés, afin qu’ils soient longs et complexes) sur un téléphone protégé par un code (ou empreinte biométrique) (ce que fait l’iPhone de base par exemple) à la différence que lorsqu’on a un problème avec un site, il faut alors changer la clef, et donc par extension le faire sur tous les sites (puisqu’ils reposent tous sur la même clef unique) ! Alors qu’avec des mots de passes individuels, on ne change que le mot de passe sur le site qui pose problème.

ld9474

Question: Comment on s’authentifie si on a pas son téléphone près de soit et qu’il n’a plus de batterie? Il y a un cache?

MartOnTheRocks

Je ne suis pas un spécialiste en cybersécurité, mais ça me ferait un peu peur que l’accès à tous mes comptes dépende du seul code pin de mon smartphone (pour info, j’utilise FaceId).
Vu comme ça, la solution Bitwarden + mots de passes générés > 20 caractères, différents sur chaque site/appli, me paraît aussi, voire plus sure.
On pourrait me répondre que l’accès au gestionnaire n’est lui-même protégé que par le mot de passe maître (il faut qu’il soit suffisamment fort).
Eventuellement, les passkeys pourraient aussi être dans un dossier sécurisé mais on perdrait en souplesse d’utilisation.
Autre interrogation : comment les passkeys seraient partagées entre plusieurs appareils (smartphone - PC par exemple) ?

MattS32

Les empreintes sur le téléphone sont rarement exploitables pour contourner les lecteurs d’empreintes actuels. Et tu as toujours la possibilité de mettre une authentification plus forte sur ton téléphone.

Non. Chaque passkey est unique et propre à un site, tu ne peux pas utiliser la passkey de ton compte Google sur ton compte Facebook par exemple.

Et en fait tu peux même avoir plusieurs paskeys pour un même compte sur un même site. Par exemple, j’ai deux passkeys différentes pour accéder à mon compte bancaire depuis mon PC de bureau et depuis mon PC portable. Si je me fait voler le portable, je peux révoquer sa passkey sans révoquer celle de mon PC.

Le secret partagé unique, c’est la clé de chiffrement qui sert à chiffrer l’ensemble des passkeys que tu stockes sur un même appareil. Mais ça c’est pas gênant qu’elle soit partagée, puisque de toute façon si l’appareil est corrompu il faut révoquer toutes les passkeys qu’il contient, même si elles étaient toute chiffrées avec une clé différente.

Les passkeys n’utilisent pas le téléphone. La passkey est stockée sur l’appareil d’où tu te connectes au compte (en faisant une première connexion avec ton login/mot de passe classique), comme l’est actuellement un cookie d’authentification. La différence avec le cookie est que alors que le cookie est stocké le plus souvent en clair dans l’espace « classique » de stockage de la machine, donc relativement facile d’accès, la passkey est stockée chiffrée, avec une clé de chiffrement qui est dans une enclave sécurisée, accessible uniquement en t’authentifiant auprès de l’enclave sécurisée, ce qui nécessite une identification spécifique et indépendante du site (identification de l’OS si c’est son enclave qui est utilisée, identification du gestionnaire de mots de passe si c’est lui qui stocke la passkey, etc…).

L’idée de base est de ne pas les partager. Les passkeys sont plus là pour remplacer le cookie qui dit « machin s’est authentifié pour ce site sur cet appareil », avec une sécurité en plus (la passkey nécessite une authentification complémentaire à chaque session d’accès, contrairement au cookie) que pour remplacer le login/mot de passe.

Donc la première fois que tu te connectes à ton compte depuis un appareil, tu utilises ton login/mot de passe classique (et l’éventuel second facteur), ça va générer une passkey qui va être stockée dans ton gestionnaire de passkeys, et ensuite quand tu reviens avec le même appareil, ça ne te demande plus que l’authentification du gestionnaire de passkeys, tant que la passkey n’est pas révoquée/expirée.

Après, certains préparent aussi le partage de passkeys entre appareils, par exemple Bitarden va le faire, mais c’est vraiment pas l’idée de base (et on perd du coup la possibilité de révoquer l’accès d’un appareil à un service, la révocation ne peut alors se faire que pour tous les appareils sur un service, en révoquant la passkey, ou pour tous les services sur un appareil en révoquant l’accès à Bitwarden de cet appareil).

Vraiment ce qu’il faut retenir c’est que le passkey est plus un remplaçant du cookie d’authentification que du mot de passe. Mais comme c’est plus sûr que le cookie, Google recommande de l’utiliser pour persister l’authentification plutôt que de se déconnecter/reconnecter à chaque fois avec le mot de passe pour ceux qui n’utilisaient pas de cookies jusqu’à présent. C’est plus en ce sens que ça « remplace le mot de passe ».

bennukem

Tu prends ton second téléphone dans ta seconde poche de ton second pantalon de ta seconde armoire. Facile

Laurent_SFN

Juste une petite coquille à corriger. Dans les paramètres francais de Google, ce qu’ils appellent une « clé de sécurité », c’est une véritable clé physique (clé USB…), le passkey correspond à la « clé d’accès ».

Sinon il est aussi possible de générer des « codes de secours » pour se connecter en cas de perte du téléphone qui sert à confirmer l’identification.

jvachez

Ils n’expliquent pas tous les désavantages.

Le fait de lier un compte à un téléphone pose de gros problèmes.

Pour passer d’un téléphone a un autre il faut souvent faire des manipulations sur l’ancien téléphone ce qui pose des problèmes si on en a perdu l’accèss via réinitialisation, suppression de l’application ou de ces données, vol ou perte. Parfois il faut même obligatoirement passer par un service client ou un administrateur pour lier au nouveau téléphone ou attendre x heures ou x jours.

On ne peut généralement pas passer facilement d’un téléphone à un autre facilement ce qui est quelque part logique car sinon le téléphone ne servirait à rien si l’on pouvait utiliser n’importe lequel du moment qu’on a le login/mot de passe.

Il y a même des banques qui ont déjà utilisé ce genre de choses pour rejetter toutes les responsabilités sur les clients prétextant que vu que c’était plus sécurisé, les clients devenaient 100% responsables.

Il faut essayer d’éviter le plus possible ce genre de choses pour éviter les blocages. Privilégier en priorité l’envoi de mail, sinon au pire envoi de SMS ou appel, c’est très génant car lié au numéro de téléphone mais moins pire que d’être lié au téléphone.

MattS32

Ça tombe bien, ce n’est absolument pas le cas.

La liaison avec un téléphone, ce n’est PAS pour les passkeys, c’est pour l’authentification à deux facteurs.

jvachez

Dans l’article pourtant il est dit que le hacker devra en plus voler le téléphone.

MattS32

Oui, pour voler la passkey qui est utilisée quand on se connecte depuis le téléphone. Si tu te connectes depuis un ordinateur, la passkey sera stockée sur cet ordinateur (dans Windows Hello par exemple, par défaut sur les PC sous Windows). Et ça pourra également être stocké dans un gestionnaire de mots de passe (Bitwarden est en train de l’implémenter
EDIT : et apparemment il y a Dashlane qui le fait déjà).

Après on peut aussi envisager une combinaison de 2FA et de passkeys en stockant les passkeys de façon déporté. Mais ce n’est pas le mode de fonctionnement par défaut des passkeys et ce n’est pas obligatoire.