LEBIGDATA.FR I.A, Cloud & Cybersécurité
Google annonce la prise en charge des passkeys sur Chrome. Tout comme Appel et Microsoft, le géant de Mountain View cherche à remplacer les mots de passe par ce système plus fiable. Toutefois, cette technologie présente aussi plusieurs défauts… découvrez tout ce que vous devez savoir !
Le mot de passe a fait son temps. Afin de renforcer la cybersécurité globale, Google est bien décidé à remplacer cette technologie obsolète par un système plus fiable.
En effet, le mot de passe présente plusieurs faiblesses majeures. De nombreuses personnes utilisent des mots de passe bien trop simples, et même les mots de passe plus complexes risquent d'être devinés par les hackers.
Après Microsoft et Apple, c'est au tour de Google d'adopter les « Passkeys » pour son système d'exploitation Android et son navigateur web Chrome. Cette nouvelle fonctionnalité est disponible sur la dernière version en date Chrome Stable M108.
À travers ce dossier, découvrez quels sont les avantages et inconvénients des passkeys pour décider si vous souhaitez utiliser cette technologie d'authentification.
Quelle différence avec un mot de passe ?
Un mot de passe est une combinaison de chiffres, symboles et lettres en minuscules et majuscules. Par conséquent, même les combinaisons les plus complexes incluant une large diversité de caractères peuvent être détournées par les hackers.
Même lorsqu'il n'est pas possible de deviner un mot de passe, un cybercriminel peut le voler par le phishing (hameçonnage) ou s'en emparer suite à une fuite de données.
Au fil des dernières années, Google a tenté de rendre les mots de passe plus sécurisés avec la vérification en deux étapes ou encore Google Password Manager.
Les gestionnaires de mots de passe actuels présentent toutefois des points faibles. À l'origine, la boîte de texte était pensée pour qu'un humain entre du texte manuellement. L'utilisateur était donc censé mémoriser son mot de passe. Par la suite, ces logiciels ont commencé à sauvegarder les mots de passe et à les entrer automatiquement.
Les passkeys représentent un niveau supérieur en termes de sécurité. Elles ne peuvent pas être utilisées sur plusieurs comptes. Elles ne peuvent pas être volées par l'ingénierie sociale, ou subir une fuite de données. De plus, elles sont compatibles avec différents systèmes d'exploitation et peuvent être utilisées à la fois sur les sites web et les applications.
Ce système abandonne l'interface de boîte de texte, et stocke des clés secrètes sur le cloud. À la place de suites de caractères aléatoires comme les mots de passe, les passkeys utilisent le standard « WebAuthn » pour générer une paire de clés public/privée à l'instar du SSH.
Passkeys sur Chrome : quels sont les inconvénients ?
Pour pouvoir utiliser les passkeys sur Chrome, vous devez tout d'abord activer le chiffrement local sur votre appareil Android ou iOS. Cette option permet de chiffrer les mots de passe sur votre smartphone, avant qu'ils soient sauvegardés sur Google Password Manager.
Soulignons que l'activation du chiffrement local présente quelques inconvénients. Tout d'abord, une fois activée, il n'est plus possible de retirer ce chiffrement.
Certains sites et applications ne seront plus capables de vous connecter automatiquement. Vous devrez aussi entrer votre mot de passe Google pour débloquer tous les mots de passe sur chaque nouvel appareil que vous utilisez.
En outre, pour se connecter à un site web avec une passkey sur ordinateur, vous devez utiliser votre smartphone. Or, pour vérifier la proximité entre les deux appareils, le système utilise le Bluetooth. Même si aucune donnée sensible n'est transmise, ce protocole rencontre parfois des problèmes de connectivité.
Un autre problème concerne la compatibilité. Les Passkeys de Chrome sont compatibles avec Windows uniquement à partir de la version 11. Or, à l'heure actuelle, cette version ne représente que 16% du total d'installations contre 70% pour Windows 10…
Comment utiliser les passkeys sur Chrome ?
Après avoir activé le chiffrement local sur Chrome, vous pouvez créer de nouvelles passkeys et les utiliser pour vous connecter sur n'importe quel site ou application compatible.
Pour vous connecter avec une passkey, vous devrez toutefois authentifier votre compte de la même façon que vous déverrouillez votre smartphone.
Si vous avez bien installé la dernière version de Chrome, les passkeys sont prises en charge sur Windows 11, macOS et Android. Vos passkeys seront synchronisées via le Google Password Manager. Par la suite, Google prévoit d'ajouter la prise en charge de tous les gestionnaires de mots de passe compatibles avec les passkeys.
Pour créer une nouvelle passkey pour l'un de vos comptes en ligne, vous devrez confirmer les informations du compte et présenter une empreinte digitale ou votre visage pour la reconnaissance faciale. Il est aussi possible le code PIN de votre smartphone.
Pour vous connecter à l'aide d'une nouvelle passkey, laissez simplement Google compléter automatiquement le champ d'identifiant comme pour les mots de passe. Vous devrez utiliser votre empreinte digitale ou votre code PIN pour confirmer.
Les passkeys peuvent aussi être utilisées pour se connecter à des sites web sur PC ou Mac. Un code QR apparaît sur l'écran, et vous n'avez plus qu'à le scanner avec votre téléphone. Vous pourrez ainsi utiliser le passekey stocké sur votre smartphone. Un nouveau code QR est généré à chaque connexion, ce qui élimine tout risque de fuite.
Comment gérer les passkeys sur Chrome ?
Si vous avez installé Chrome M108 sur votre ordinateur, vous pouvez gérer tous vos mots de passe directement depuis le navigateur Google sur Windows ou macOS.
Il suffit d'ouvrir le menu en cliquant sur les trois points en haut à droite de l'écran sur Chrome, pour accéder aux paramètres. Dans l'onglet « Saisie automatique », vous pouvez gérer vos passkeys.
La fin du mot de passe ?
C'est suffisamment rare pour le souligner : tous les géants de la technologie travaillent à l'unisson pour remplacer le mot de passe par les passkeys sur leurs systèmes d'exploitation et navigateurs.
Cet effort commun a pour but de renforcer la cybersécurité générale. Par conséquent, les passkeys pourraient bel et bien prendre la place des mots de passe au cours des prochaines années.
Selon Benoit Grunemwald, expert en cybersécurité chez ESET France, « Une bonne gestion des mots de passe reste un challenge pour le plus grand nombre d'entre nous. Les professionnels du numérique œuvrent pour limiter les risques liés et simplifier la vie des utilisateurs de leurs services ou comptes en ligne. Poursuivant l'objectif de réduire l'utilisation des mots de passe au strict minimum, nous constatons l'adoption de « passkey » pour les remplacer ».
Toutefois, selon lui, « cette adoption doit s'effectuer à plusieurs niveaux : sur les applications autant que sur les multiples appareils possédés par les utilisateurs. Comment augmenter la sécurité des authentifications sans réduire celle du stockage et du partage des clefs qui sont nécessaires ? Les smartphones et ordinateurs récents proposent des méthodes sûres et pratiques, comme la biométrie, qui combinées aux outils FIDO, rendent possible la fin des mots de passe ».
Quoi qu'il en soit, il n'est pas possible de remplacer totalement les mots de passe. Par exemple, vous aurez toujours besoin d'un mot de passe maître pour vos comptes Google, Apple ou Microsoft. À moins de trouver une alternative, il n'est donc pas possible de laisser le système de mot de passe disparaître dans l'oubli à tout jamais…
- Partager l'article :
