C'est désormais officiel : « Passkey » est disponible depuis ce mercredi 12 octobre 2022 pour les appareils sous Android.
Les utilisatrices et les utilisateurs du navigateur Google Chrome sont également concernés
Adieu petit (plutôt très long) mot de passe ?
Dans la foulée d'Apple et en plein mois de la cybersécurité, Google a déployé les « clés d'accès » pour son système d'exploitation Android et son navigateur Google Chrome. Les objectifs autour du Passkey, annoncés conjointement par Apple, Google et Microsoft autour des standards de l'Alliance FIDO, sont de permettre de gagner en cybersécurité à un niveau individuel. On ne va pas vous refaire le topo sur la nécessité de changer de mot de passe pour chaque service et d'en choisir un qui soit assez complexe, vous commencez à connaître la chanson.
Néanmoins, une faiblesse majeure demeure, et on ne peut pas toujours l'éviter malgré une vigilance accrue : l'hameçonnage. Avec les clés d'accès, Google espère donc dépasser ce problème. Sur le blog Android Developers a été publié un article conjointement signé par Diego Zavala, chef de produit Android et Christiaan Brand, chef de produit Compte et Sécurité. Pour eux, le déploiement des clés d'accès est avantageux car elles « ne peuvent pas être réutilisées, ne fuitent pas dans les failles de serveur et protègent les utilisateurs contre les attaques de phishing ».
Concrètement, la clé d'accès étant individuelle et unique pour chaque service auprès duquel une authentification est souhaitée, la révolution ne va pas être majeure au quotidien pour les utilisatrices et utilisateurs de ce service. En effet, la confirmation de la clé d'accès par un mot de passe ou encore par l'usage d'une donnée biométrique n'est pas si différente du procédé habituel d'authentification multifacteur.
Un service multi-support grâce à l'emploi de standards communs
L'adoption va être d'autant plus simple qu'une synchronisation entre les différents appareils Android d'une même personne est d'ores et déjà possible, pour éviter qu'une clé d'accès ne fonctionne qu'à partir d'un smartphone personnel, et pas sur celui dédié à la vie professionnelle par exemple. Cela est permis par l'emploi du gestionnaire de mots de passe de Google.
Du côté des développeurs, l'API WebAuthn leur permet de créer un support pour générer des clés d'accès pour les internautes employant Chrome à partir d'Android, et d'autres plateformes supportées. L'API pour les applications natives sous Android doit arriver avant la fin de l'année en cours.
Pour l'heure, grâce à l'emploi de mêmes standards pour les clés d'accès, une personne peut donc les employer sous ChromeOS, macOS, Windows ou iOS. Se connecter à partir de Chrome sur votre iPhone ou sur votre ordinateur sous Windows est donc (déjà) possible. Alors, allez-vous employer des clés d'accès ?
Sources : Blog Android Developers, The Hacker News
vous connaissez tous ce vieux dicton, ne mettez pas vos œufs dans le même panier
