Google commence lui aussi à déployer sa stratégie contre les mots de passe. Dans un billet de blog à destination des développeurs, publié le 12 octobre 2022, la firme de Mountain View indique qu’elle commence à donner accès à certains outils. Ils permettent d’intégrer un nouveau procédé pour s’authentifier autant dans les applications mobiles que sur les sites web.
Tout repose sur une technique appelée passkey — que l’on peut traduire par code d’accès. Avec elle, le mot de passe n’est plus requis. À la place, on génère un code très simple à manipuler pour l’internaute. C’est une solution présentée comme bien plus sûre et résiliente face aux brèches de données ou aux hameçonnages. En outre, ils ne peuvent pas être réutilisés par un tiers.
Déploiement à venir des passkeys dans Chrome et Android
Selon les plans de Google, côté Android, il suffira de confirmer les informations du compte associé au code d’accès, lors de la création de cette passkey. Puis, il faudra employer la solution de déverrouillage du smartphone en cours d’utilisation (l’empreinte digitale ou la reconnaissance faciale si l’un de ces deux procédés biométriques est utilisé, ou bien le code PIN).
Quand vient le moment de se connecter à tel ou tel service, l’internaute choisit le compte qui lui convient et utilise la solution de déverrouillage du smartphone pour finaliser le processus. Que ce soit pour la création comme pour l’utilisation, Google tient à limiter au maximum les efforts à fournir, pour que ce soit convivial. Dans les deux cas, il n’y a que deux grandes étapes.
Les travaux de Google sont à un stade encore préliminaire. Ce n’est pas maintenant que les passkeys pourront être utilisées au quotidien. Aujourd’hui, la société en est à un stade de déploiement initial dans son système d’exploitation mobile (Android) et son navigateur web (Chrome), via leur version de développement. Pour l’heure, il s’agit de laisser les développeurs s’en emparer.
Google imagine deux grandes manières de se connecter à une application ou à un site : soit en passant intégralement par Android, lorsque l’on reste dans l’OS, soit en se connectant avec un ordinateur et en faisant une « liaison » avec un smartphone Android. Pour cela, il faudra à un moment scanner un code QR — c’est une pratique que l’on retrouve pour utiliser WhatsApp sur PC, par exemple.
« Aujourd’hui, nous franchissons une nouvelle étape importante, mais notre travail n’est pas terminé », rappelle toutefois Google. Prochaine étape pour 2022 ? Une API pour les applications Android natives. « Les clés créées via l’API Web fonctionneront de manière transparente avec les applications affiliées au même domaine et vice versa », précise la société.
Google n’est pas la seule entreprise à chercher à sortir de l’empire des mots de passe. Même si, pendant un temps sans doute assez long, on devine que les passkeys et les mots de passe coexisteront (Google signale que l’API offrira aux applications un moyen unifié de permettre entre les deux). D’autres, comme Apple et Microsoft, sont aussi sur cette trajectoire.
« Nous franchissons une nouvelle étape importante, mais notre travail n’est pas terminé. »
Google
En juin, Apple a présenté son plan pour tuer les mots de passe. Un mois plus tôt, la firme de Cupertino, Microsoft et Google annonçaient une alliance pour en finir dès que possible avec les mots de passe. Bien sûr, les trois ont conscience que le succès de la passkey dépend aussi de l’interopérabilité du système. Bonne nouvelle : elle est prévue entre les systèmes de ces trois entreprises.
« Les Passkeys reposent sur des normes industrielles et fonctionnent sur différents systèmes d’exploitation et écosystèmes de navigateurs », souligne ainsi Google. On pourra se connecter avec un smartphone Android pour scanner un code QR affiché dans le navigateur Safari, sur un système sous macOS. Il reste à savoir quand et si le reste de l’écosystème, comme les navigateurs alternatifs, basculera aussi.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
