Google donne la priorité aux passkeys : ce qu'il faut savoir
La connexion par clés d'accès (passkeys) est désormais prioritaire sur les comptes Google. Qu'implique cette décision ?
Les clés d'accès (passkeys) sont désormais la méthode de connexion par défaut sur les comptes Google.
C'est la conséquence d'un changement en back-office : l'activation de l'option « Ignorer le mot de passe si possible ». Pour le moment, on peut tout à fait la décocher pour revenir à la connexion avec un mot de passe ou à la vérification en deux étapes.
À l'instar d'un mot de passe, une clé d'accès est associée à un compte utilisateur et à un site web ou à une application. La différence, c'est qu'elle repose sur de la cryptographie à clé publique.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Pour s'assurer que seul le propriétaire légitime d'une clé d'accès puisse l'utiliser, le système demande de déverrouiller l'appareil sur laquelle elle est stockée. Par exemple avec une empreinte digitale, la reconnaissance faciale, un code PIN ou un schéma.
OS, navigateurs : une prise en charge inégale des clés d'accès
Dans l'écosystème Google, deux plates-formes implémentent les clés d'accès : Chrome/Chrome OS (à partir de la version 109) et Android (version 9.0 et ultérieures).
Apple a intégré la prise en charge des clés d'accès à partir d'iOS 16, de macOS Ventura et de Safari 16. Microsoft a fait de même à partir de Windows 10 et d'Edge 109.
Sur Android, les clés d'accès sont stockées par défaut dans le gestionnaire de mots de passe de Google. Celui-ci les synchronise sur les autres appareils Android éventuellement connectés au même compte. Il les sauvegarde également. On peut donc récupérer des clés d'un appareil perdu, en indiquant son code, son schéma ou son mot de passe de sécurité sur un nouvel appareil.
Sur Windows, le stockage des clés d'accès implique d'avoir configuré Windows Hello. Les clés restent en local : pas de synchronisation ni de sauvegarde. Même chose sur Mac pour les clés créées dans le profil Chrome : le navigateur utilise un trousseau local (il ne peut pas encore utiliser un trousseau iCloud).
Sur iOS et iPadOS, il y a bien une synchronisation par l'intermédiaire du trousseau iCloud. La saisie automatique des clés n'est, en revanche, pas encore disponible.
Sous Windows comme sous macOS, la première connexion à un site web dans Chrome requiert de scanner un code QR avec un autre appareil disposant déjà d'une clé d'accès.
Sous Linux, Chrome ne peut pas stocker directement des clés d'accès. Il faut s'appuyer sur un autre appareil, comme un téléphone Android ou un iPhone (connexion initiale par QR code, puis Bluetooth).
Quelle que soit la plate-forme, Google ne donne aucune garantie quant à la possibilité d'utiliser des clés d'accès en mode navigation privée ou équivalent.
Consolider, protéger et valoriser vos données : RDV au Silicon Day le 30 novembre !
Silicon.fr vous invite pour une matinée d'échanges autour des projets d'analyse de données et de services cloud.
Au programme : des retours d'expérience de migrations d'applications vers le cloud, des interactions avec des bâtisseurs et les intégrateurs de solutions pour consolider, protéger et valoriser vos données numériques.
Venez partager vos réflexions et vos retours d'expérience, rendez-vous le le 30 novembre en matinée, à la maison des Polytechniciens (Paris 7e).
Inscrivez-vous gratuitement ici
Les clés d'accès par défaut : encore en bêta sur Google Workspace
De manière générale, on ne peut synchroniser des clés d'accès qu'au sein d'un même écosystème. Android 14 (dernière version en date) apporte toutefois une forme de portabilité en permettant leur stockage dans un gestionnaire tiers.
Créer une clé d'accès implique de l'utiliser comme méthode prioritaire pour se connecter. À moins qu'on ait désactivé la fameuse option « Ignorer le mot de passe si possible ». Solution alternative : l'option « Essayer une autre méthode ». Si on la choisit régulièrement, Google en tient compte et propose de moins en moins de recourir aux clés d'accès.
On peut supprimer sélectivement les clés d'accès créées dans Chrome. Pour les supprimer au niveau d'Android, il fait déconnecter l'appareil du compte Google.
Lire aussi : Le MFA, une course à obstacles pour Snowflake
Sur Google Workspace, l'option « Ignorer le mot de passe si possible » est en encore en phase expérimentale (bêta ouverte). Une fois que l'admin l'a activée, les utilisateur doivent faire de même puis ajouter une clé d'accès.
Chez les utilisateurs qui ont déjà paramétré une clé de sécurité sur Android, elle deviendra une clé d'accès. Sur iPhone, la démarche ne sera pas automatique : il faudra créer la clé d'accès. La clé de sécurité disparaîtra du compte au 1er décembre 2023.
Photo d'illustration © Tiko - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité