Au micro de Clubic, Thiébaut Meyer, directeur cybersécurité chez Google Cloud, insiste sur l'intérêt des fameux passkeys, ou clés de sécurité, qui se destinent à faire entrer la protection en ligne dans une nouvelle ère, en écartant progressivement les mots de passe.
L'authentification de l'utilisateur a toujours été un serpent de mer, et la solution parfaite n'a encore jamais été trouvée, il faut le reconnaître. Selon les circonstances, il ne faut pas plus de quelques minutes, voire quelques secondes à un hacker pour contourner un mot de passe de 8 caractères. « Demandez à quelqu'un d'avoir un mot de passe de 20 caractères par site ou application, et de les changer tous les 6 mois », vous verrez que c'est infaisable, nous prévient-on.
Les gestionnaires de mots de passe pouvant aussi faillir, Google a revu ses orientations en poussant la double authentification (code de validation, SMS, etc.), car elle n'était finalement plus satisfaite du seul mot de passe comme protection. Mais la firme de Mountain View a voulu aller plus loin avec les clés de sécurité. Nous avons discuté de l'intérêt de cette avancée aux Assises de la sécurité à Monaco avec Thiébaut Meyer, directeur cybersécurité du côté de Google Cloud.
Les clés de sécurité, l'alternative plus fiable et facile aux mots de passe
Depuis quelques jours, Google a intensifié sa campagne pour éliminer les mots de passe en activant par défaut une option qui permet de les ignorer dès que possible (et qui peut être désactivée depuis les paramètres) en les remplaçant par une passkey. Cette dernière peut prendre la forme d'une empreinte digitale, d'un code PIN ou d'un scan de votre visage. Un gain de temps de 40 % pour déverrouiller votre appareil est évoqué, en comparaison d'un mot de passe.
« Avec le mot de passe, on partage un secret entre l'utilisateur et le site sur lequel on s'authentifie. Avec les passkeys, c'est différent : chaque utilisateur aura une clé d'accès par site, clé qu'il n'a plus besoin de connaître, de noter ou de garder dans un coin de sa tête », explique Thiébaut Meyer.
Comment fonctionne les passkeys ?
Prenez votre smartphone dans lequel est stockée la clé. Pour le déverrouiller, vous utiliserez l'authentification du téléphone, qui aidera à déverrouiller la clé, puis à l'envoyer de manière transparente vers le site sur lequel vous souhaitez vous authentifier. « On a à la fois la simplicité d'usage et le niveau de sécurité, puisqu'on a affaire à une chaîne complexe que l'utilisateur n'a pas à retenir », précise Thiébaut Meyer.
Les passkeys peuvent être utilisées dans un environnement Safari, Google ou Microsoft. Un peu partout, donc. Google l'affirme : ce travail a été mené en collaboration avec d'autres fournisseurs travaillant dans l'Alliance FIDO, dont l'entreprise fait partie (et qui regroupe de nombreuses sociétés développant les normes d'authentification), tout comme Uber et eBay. « C'est en travaillant avec d'autres acteurs que l'on arrive à avoir des standards qui soient ouverts, partagés et utilisés par tous. C'est comme cela qu'on arrive à monter le niveau de sécurité. Clairement, ce n'est pas en travaillant chacun sur notre propre protocole que l'on y arrivera », constate celui qui œuvre dans la cybersécurité depuis de longues années.
L'idée de Google n'est pas de tordre le cou aux mots de passe dans trois mois, mais bien de convaincre les utilisateurs quant à l'évolution que représentent les clés de sécurité, et à l'amélioration de la sécurité et du confort. Quant à rendre les passkeys obligatoires, ce n'est aujourd'hui pas une option.
Pas question d'imposer les passkeys aux utilisateurs, pour l'instant…
« Même sans l'imposer, je pense que les gens verront assez vite le bénéfice de cette solution, notamment par l'ergonomie et la simplicité d'usage qu'on en tire via son téléphone. Peut-être que certains sites l'imposeront, ils sont libres. Mais personnellement, je pense que tout se fera naturellement », nous explique Thiébaut Meyer, confiant quant à l'adoption des passkeys par le grand public. Un grand public qui a pourtant du mal à bousculer ses habitudes. Mais Rome ne s'est pas faite en un jour.
Malgré les apports indéniables du concept de la clé de sécurité, il ne faut pas non plus la voir comme la solution miracle qui réglera tous les problèmes de la planète cyber. Prenons l'exemple de la biométrie et de l'empreinte. Le scénario n'est pas banal, on vous l'accorde, mais un individu malveillant est tout à fait capable de relever votre empreinte sur une table, une bouteille ou autre. Suffisant pour contourner cette clé de sécurité ?
« Le risque zéro n'existera jamais, pas plus dans cette technologie que dans une autre. L'idée reste que lorsqu'on essaie de trouver un autre protocole, un autre standard de sécurité, on se demande comment on peut globalement élever le niveau. Et là, avec les passkeys, je pense que par rapport au mot de passe, on monte d'un cran la sécurité », se défend Thiébaut Meyer. « Oui, on peut retrouver votre empreinte, mon empreinte. Encore faut-il, une fois qu'on l'a, que l'on me vole mon téléphone. Mais ce sera définitivement plus difficile que de voler mon mot de passe. »
La discussion avec Thiébaut Meyer nous rappelle l'importance cruciale de repenser la manière dont nous assurons notre sécurité en ligne. Si aucune solution n'est totalement infaillible, les passkeys se dessinent comme une méthode prometteuse pour grandement atténuer le risque de se faire piéger ou de voir son mot de passe tomber dans une base de données piratée, puis récupérée et exploitée par les pirates.