Le remplacement multiplateforme des mots de passe de Big Tech arrive dans l’écosystème Google.
Big Tech veut tuer le mot de passe, les « passkeys » étant la nouvelle norme de remplacement des mots de passe en vogue. Les clés passe-partout sont soutenues par Google, Apple, Microsoft et l’Alliance FIDO. Attendez-vous donc à les voir partout bientôt. iOS a adopté la norme dans sa version 16, et Google lance maintenant des versions bêta des clés passe-partout sur Chrome et Android.
L’argument de la clé passe-partout est que les mots de passe sont vieux et peu sûrs. À l’origine, les mots de passe informatiques étaient conçus comme des secrets faciles à mémoriser que les humains devaient taper dans une zone de texte. Le besoin d’une plus grande sécurité s’étant fait sentir, les gestionnaires de mots de passe ont fait leur apparition, facilitant la sauvegarde et le rappel de vos mots de passe.
Aujourd’hui, au lieu d’une phrase facile à mémoriser, la façon idéale d’utiliser un mot de passe est de demander à un ordinateur de générer une série de caractères et de ne jamais réutiliser ce mot de passe ailleurs. La révolution des gestionnaires de mots de passe n’est cependant qu’un piratage, construit sur la base de la zone de texte originale. Nous n’avons plus vraiment besoin de la boîte de texte, et c’est là que les « passkeys » entrent en jeu.
Les passkeys échangent les clés cryptographiques de WebAuthn avec le site Web directement. Il n’est pas nécessaire qu’un être humain demande à un gestionnaire de mots de passe de générer, de stocker et de rappeler un secret – tout cela se fera automatiquement, avec des secrets bien meilleurs que ceux pris en charge par l’ancienne zone de texte, et avec une unicité renforcée.
L’inconvénient est que, si tous les navigateurs du monde permettent d’afficher l’ancienne zone de texte, la prise en charge des clés de passe devra être ajoutée à tous les navigateurs Web, à tous les gestionnaires de mots de passe et à tous les sites Web. Ce sera un long voyage.
Le choix étrange que Big Tech a fait avec les clés de passe est que la chose qui authentifie votre accès à un site Web est votre téléphone, et non le gestionnaire de mots de passe sur l’appareil que vous utilisez actuellement. Cette communication entre le téléphone et le client ne se fait pas non plus par Internet, comme l’authentification à deux facteurs : l’appareil que vous utilisez doit être équipé de Bluetooth pour que votre téléphone puisse lui parler localement.
Bluetooth est utilisé pour s’assurer que votre téléphone est à proximité de l’appareil et pour lancer une session réseau (plus sécurisée que Bluetooth). En gardant la communication locale, on s’assure que des personnes aléatoires sur Internet ne peuvent pas se connecter à vos comptes, mais cela va également bloquer certains ordinateurs de bureau.
Google affirme que ses efforts en matière de clé de sécurité ont atteint « une étape importante » aujourd’hui. Si vous vous inscrivez à la version bêta de Play Services, vous pouvez désormais créer et utiliser des clés de sécurité sur les appareils Android, et Chrome Canary prend désormais en charge les clés de sécurité pour les sites Web. Google indique que des implémentations stables pour Chrome et Android seront disponibles plus tard dans l’année, mais que les développeurs doivent commencer à développer dès maintenant.
Google a également donné quelques détails sur la façon dont cela va fonctionner. La solution de Google consiste à stocker vos clés de passe dans le gestionnaire de mots de passe de Google. Une fenêtre contextuelle sur votre téléphone vous demandera d’abord de choisir un compte, puis de vous authentifier à l’aide d’une méthode biométrique, comme le déverrouillage par empreinte digitale. Le téléphone communique avec le client par Bluetooth, le navigateur déverrouille votre clé et l’envoie au site Web. (Si le client est votre téléphone, alors tout devient beaucoup plus simple).
Pour une raison quelconque, l’exemple de Google implique de lancer l’ensemble du processus avec un code QR. Je suppose qu’il s’agit simplement d’un piratage rapide pour la version bêta, mais pour que la fenêtre pop-up de la clé d’accès apparaisse d’abord sur votre téléphone, Google demande à l’ordinateur d’afficher un code QR, puis le téléphone le scanne. Comme pour le Google Prompt ou d’autres formes de 2FA, à l’avenir, nous espérons que la fenêtre pop-up initiale de la clé de sécurité s’ouvrira automatiquement via Internet.
Outre les versions stables pour Android et Chrome, Google prévoit de créer une API pour les applications Android natives et une API Android pour les gestionnaires de mots de passe tiers qui pourront s’y connecter. Google met actuellement de l’ordre dans ses affaires, mais à l’avenir, le système devrait fonctionner dans tous les écosystèmes, de sorte qu’un iPhone pourrait envoyer un mot de passe à Chrome, ou un téléphone Android à Safari.
