Ces dernières années, La sécurité de nos comptes en ligne est devenue un véritable casse-tête.Fuites de mots de passe, attaques de phishing généralisées et réutilisation des mêmes mots de passe sur Internet : dans ce contexte, l’émergence d’un système conçu pour éliminer définitivement les mots de passe était inévitable : Passkeys.
Les Les mots de passe sur Android et d'autres plateformes sont apparus comme une méthode de connexion plus simple, plus rapide et très difficile à pirater.Car ce système combine un chiffrement avancé avec des technologies que vous utilisez déjà au quotidien, comme les empreintes digitales, la reconnaissance faciale ou le code PIN de votre téléphone. Si vous n'avez pas envie de mémoriser des mots de passe complexes ou si vous en avez assez des codes SMS, ce système vous ravira.
Qu'est-ce qu'un mot de passe exactement et pourquoi tout le monde en parle ?
Une clé d'accès, ou mot de passe, est une attestation numérique basée sur la cryptographie à clé publique et privée qui remplace les mots de passe traditionnelsCe n'est ni un mot à retenir, ni une combinaison de chiffres : c'est une clé cryptographique que votre appareil génère et stocke pour vous.
Lorsque vous créez une clé d'accès, Android (ou tout autre système que vous utilisez) génère deux clés différentes mais mathématiquement liées: une clé publique, stockée sur le serveur du service (Google, votre banque, un réseau social, etc.), et une clé privée, qui reste protégée sur votre appareil et ne le quitte jamais.
La distinction importante est que La partie secrète de cette paire de clés n'est jamais envoyée sur Internet.Elle n'est ni écrite sur un formulaire, ni stockée sur un serveur distant. L'intégralité du processus d'authentification est effectuée directement sur votre téléphone mobile, tablette ou ordinateur, qui ne partage qu'une preuve cryptographique de votre identité, validée par la clé publique.
De plus, les clés d'accès sont conçues conformément aux normes. FIDO2 et WebAuthn, développés par la FIDO Alliance et le W3CCe sont les mêmes personnes qui développent des clés de sécurité physiques depuis des années. Cela garantit une compatibilité multiplateforme et un niveau de sécurité bien supérieur aux mots de passe.
Dans la pratique, Pour vous, un mot de passe consiste simplement à « se connecter avec son empreinte digitale, son visage ou son code PIN ».sans avoir à saisir de mots de passe ni à copier de codes depuis une application d'authentification.
Comment fonctionnent les mots de passe, étape par étape
En interne, les clés d'accès utilisent cryptographie asymétriqueEn d'autres termes : il existe une clé publique (partagée) et une autre, jalousement protégée (privée). L'accès au système ne sera possible que si elles correspondent.
Lorsque vous configurez une clé d'accès sur un service compatible, Votre appareil génère la paire de clés publique/privée et n'envoie que la clé publique au serveur.La clé privée est stockée dans un environnement sécurisé sur l'appareil, tel que le Module de plateforme sécurisée (TPM) sur Android, sécurité des clés cryptographiques Android, la Secure Enclave d'Apple ou des fonctionnalités comme Samsung Knox, isolées du reste du système.
Lorsque vous vous connectez, le service vous lance un « défi » aléatoire qui Votre appareil doit se connecter avec la clé privée.Pour utiliser cette clé privée, vous devez d'abord déverrouiller votre téléphone à l'aide de votre méthode habituelle : empreinte digitale, reconnaissance faciale, schéma ou code PIN.
Lorsque vous aurez accompli ce geste, Android signe le défi avec votre clé privée et envoie la signature au serveur.Il vérifie votre identité à l'aide de la clé publique déjà enregistrée. Si elle correspond, il confirme votre identité et vous accorde l'accès, sans que votre clé privée ne quitte votre téléphone.
En outre, Les clés d'accès sont liées au domaine ou à l'application spécifique. Elles ont été créées pour des comptes spécifiques. Autrement dit, votre clé d'accès pour « accounts.google.com » ne fonctionnera pas sur un faux domaine comme « account-google.com », ce qui les rend résistantes au phishing.
Passkeys sur Android : exigences, synchronisation et écosystème
Sous Android, les mots de passe sont intégrés au système d'exploitation lui-même et Ils sont gérés via Google Password Manager. et d'autres gestionnaires de mots de passe pour Android Ce sont des identifiants comme des mots de passe, mais avec une sécurité renforcée. Si votre téléphone fonctionne sous Android 9 ou une version ultérieure, vous pouvez les utiliser dès maintenant sur les services compatibles.
Lorsque vous créez une clé d'accès dans votre compte Google ou sur un autre site Web qui le permet, La clé privée est stockée sur l'appareil, au sein du matériel sécurisé.La clé publique est transmise au serveur de service, tandis qu'Android gère tout cela automatiquement, sans nécessiter aucune intervention technique de votre part.
Un autre avantage important est que, si vous utilisez votre compte Google sur plusieurs appareils, Les clés d'accès peuvent être synchronisées en toute sécurité entre elles via le cloudCela signifie que vous pouvez vous connecter à votre compte Google depuis votre téléphone portable, votre tablette ou votre ordinateur portable sans avoir à créer une clé distincte sur chaque appareil.
Lorsque vous vous connectez à un ordinateur, Vous pouvez utiliser le code d'accès créé sur votre mobile en scannant un code QR. que le navigateur affiche. Le téléphone mobile communique avec l'ordinateur (par exemple, via Bluetooth) et finalise le processus, à condition que vous déverrouilliez l'appareil selon votre méthode habituelle.
Google offre également la possibilité de « Évitez les mots de passe autant que possible »Si vous l'activez, lorsque vous vous connecterez à votre compte, le système vous proposera directement d'utiliser une clé d'accès au lieu de vous demander le mot de passe classique.
Qui utilise déjà des clés d'accès et sur quels appareils fonctionnent-elles ?
Les cartes d'accès ne sont pas une promesse futuriste : Les grandes entreprises et les services de toutes sortes les ont déjà intégrés. comme option de connexion, notamment pour les comptes personnels.
Du côté des systèmes d'exploitation, Apple, Google et Microsoft ont intégré des clés d'accès à leurs écosystèmes.Sur iOS et macOS, ils sont stockés dans le trousseau iCloud, sur Android ils sont gérés par le gestionnaire de mots de passe Google et sur Windows ils dépendent de Windows Hello.
Au niveau du navigateur, versions modernes de Chrome, Safari, Edge et Firefox (bien que ce dernier bénéficie d'une prise en charge plus limitée) Ils permettent l'utilisation de mots de passe sur les ordinateurs de bureau et les appareils mobiles, à condition que le système d'exploitation réponde aux exigences minimales.
Dans le monde des services en ligne, Il existe déjà des géants comme Google, GitHub, Dropbox, PayPal, Amazon, des entreprises de technologie financière, des réseaux sociaux et des entreprises de commerce électronique. qui proposent de créer des clés d'accès pour vos comptes. En fait, Facebook intègre des mots de passe et la liste s'allonge tous les quelques mois.
Même dans des environnements plus fermés, comme les universités ou les entreprises, Des clés d'accès liées à l'appareil sont déployées avec des applications comme Microsoft Authenticator.qui vous permettent de vous connecter aux portails d'entreprise depuis votre téléphone portable sans utiliser de mot de passe, tout en maintenant des politiques de sécurité très strictes.
Types de clés d'accès : synchronisées et liées à l'appareil
Dans le monde des mots de passe, on peut distinguer deux grandes familles, selon la manière dont elles sont gérées et ce qui est autorisé à être fait avec elles: multi-appareils (ou synchronisés) et ceux liés à un seul appareil.
Les clés d'accès multi-appareils sont celles qui sont synchronisées sous forme cryptée sur tous vos téléphones portables, tablettes et ordinateurs personnels via votre compte cloud (Google, Apple ou Microsoft, selon l'écosystème). Ils sont idéaux pour les particuliers car ils simplifient considérablement la vie.
Avec ce modèle, Si vous créez un code d'accès sur votre mobile Android, vous pouvez également l'utiliser sur votre tablette ou votre ordinateur portable. sans avoir à enregistrer de nouvelles clés une par une. Il vous suffit d'être connecté avec le même compte et le service doit être compatible.
D'autre part, il y a les clés d'accès liées à l'appareil, également appelées lié à l'appareilDans ce cas, la clé d'accès est liée à un seul appareil mobile ou à une clé de sécurité physique et Il n'est ni exporté ni répliqué dans le cloud.
Cette approche est très populaire en entreprise, car Cela empêche la copie imprudente des identifiants professionnels sur des appareils personnels.Si vous perdez votre téléphone portable, vous perdez également votre code d'accès, mais l'entreprise peut imposer de nouvelles méthodes d'accès de manière contrôlée.
Avantages des clés d'accès par rapport aux mots de passe
Du point de vue de l'expérience utilisateur, les clés d'accès offrent Deux avantages indéniables : plus de sécurité et un confort accru.Et ils le font sans vous obliger à changer votre façon de déverrouiller votre téléphone.
En matière de sécurité, le bond en avant est énorme : Les clés d'accès sont conçues pour résister au phishing.Étant donné que chaque clé ne fonctionne que pour un domaine ou une application spécifique, même si vous tombez dans le piège d'un lien malveillant, le système ne vous permettra pas d'utiliser la clé d'accès sur ce faux site web.
De plus, étant basée sur la cryptographie à clé publique/privée, Il n'existe aucun « mot de passe » susceptible d'être divulgué à partir de la base de données d'un service.L'attaquant obtiendrait, au mieux, la clé publique, ce qui ne suffit pas à lui seul pour accéder à votre compte.
Du point de vue de l'ergonomie, Vous oubliez de créer, de mémoriser et de changer vos mots de passe.Pour vous connecter, utilisez simplement votre empreinte digitale, votre visage ou votre code PIN habituel pour déverrouiller votre appareil, ce qui réduit considérablement les taux d'abandon sur les formulaires d'inscription et de connexion.
Un autre point important est que Passkeys intègre efficacement l'authentification multifacteurs (MFA) en un seul geste.Vous utilisez quelque chose que vous possédez (l'appareil) et quelque chose que vous êtes ou que vous connaissez (les données biométriques ou le code PIN) sans avoir à saisir de codes supplémentaires ni à consulter de SMS.
Inconvénients et limitations actuels des clés d'accès
Aussi attrayantes qu'elles puissent paraître, Les mots de passe ne sont pas encore parfaits, et on ne les trouve pas partout sur Internet.Il y a certains facteurs à prendre en compte avant de se lancer.
Le premier obstacle est que L'adoption reste partielle.De nombreux services importants les prennent déjà en charge, mais loin d'être tous. Pendant un certain temps encore, nous devrons coexister mots de passe, codes et clés d'accès.
Un autre point délicat est la Récupération de compte en cas de perte de tous vos appareilsSi vous n'aviez synchronisé vos identifiants que sur votre mobile et votre tablette et que les deux sont volés, selon le service, il peut être plus ou moins compliqué de récupérer l'accès sans méthode de sauvegarde.
En outre, reposant sur des écosystèmes spécifiques comme iCloud, Google Password Manager ou le Trousseau d'accès Microsoft Cela pourrait limiter l'accès à ces services pour ceux qui tentent de s'en tenir à l'écart ou d'utiliser des systèmes mixtes.
Il y a aussi un petit Courbe d'apprentissage pour les utilisateurs moins techniquesCes informations peuvent d'abord prêter à confusion avec le nom, les messages du navigateur ou l'idée de « se connecter avec son appareil mobile ». Cependant, après quelques utilisations, le processus est généralement plus intuitif que l'utilisation de mots de passe.
Clés d'accès versus mots de passe traditionnels, authentification à deux facteurs (2FA) et authentification multifacteur (MFA)
Les mots de passe existent depuis des décennies. le maillon faible de la sécurité en ligneElles se répètent à plusieurs endroits, sont mal choisies, sont mentionnées dans des notes visibles et font constamment l'objet de fuites massives.
Malgré les recommandations d'utiliser des gestionnaires de mots de passe, d'activer l'authentification à deux facteurs avec des applications de code ou des clés physiques, En réalité, la plupart des gens ne le font pas. Ou bien ils se lassent de toutes ces étapes. C'est là que les clés d'accès tentent de simplifier les choses sans compromettre la sécurité.
Si l'on compare, Chaque clé d'accès est intrinsèquement robuste par conception.Il n'est pas nécessaire de se soucier de la présence de majuscules, de chiffres ou de symboles. On ne peut pas le deviner à partir d'un dictionnaire, et il ne repose pas sur des données personnelles.
Comparé aux codes 2FA par SMS ou e-mail, Les clés d'accès ne dépendent pas des réseaux mobiles et ne peuvent pas être interceptées aussi facilement.Elles ne vous obligent pas non plus à passer d'une application à l'autre. Tout se passe sur l'appareil lui-même et en quelques secondes.
En fait, Un code d'accès intègre déjà une sorte d'« authentification multifacteur invisible ».car elle combine un élément que vous possédez (l'appareil où se trouve la clé privée) et un élément que vous utilisez pour le déverrouiller (biométrie ou code PIN), sans ajouter de couches encombrantes pour l'utilisateur.
Comment créer et utiliser des clés d'accès dans un compte Google depuis Android
Si vous souhaitez commencer à les essayer, Google est l'un des meilleurs endroits pour tester les clés d'accès sur Android.car le support est très soigné et intégré à tous ses services.
Pour activer une clé d'accès dans votre compte Google, il vous suffit de Accédez aux paramètres de votre compte et rendez-vous dans la section sécurité.Vous y trouverez l'option « Clés d'accès » ou « Mots de passe », à partir de laquelle vous pourrez en créer une nouvelle.
L'assistant vous demandera de Confirmez votre identité avec votre mot de passe actuel et choisissez l'appareil sur lequel vous souhaitez générer la clé d'accès.Si vous effectuez cette opération depuis votre téléphone portable, le système utilisera votre méthode de déverrouillage (empreinte digitale, visage ou code PIN) pour terminer le processus.
À partir de ce moment-là, chaque fois que vous vous connecterez à votre compte Google sur cet appareil, Vous pouvez vous connecter en utilisant la clé d'accès au lieu de saisir le mot de passe.Dans de nombreux cas, le navigateur proposera directement d'utiliser la clé.
Si vous perdez ou cessez d'utiliser ce téléphone portable, Il est recommandé de se connecter à votre compte Google depuis un autre appareil et de supprimer les clés associées au téléphone perdu.Cela garantit que personne connaissant votre code PIN ou pouvant utiliser la biométrie n'ait un accès direct au compte.
Les clés d'accès dans les environnements d'entreprise et éducatifs
Bien que l'on parle généralement de mots de passe en pensant aux comptes personnels, Les organisations emboîtent également le pas. car elle leur offre un moyen très efficace de protéger les accès sensibles.
Dans les entreprises ou les universités qui utilisent Microsoft 365 ou Azure AD, par exemple, Il est courant de configurer les clés d'accès à l'aide de l'application Microsoft Authenticator.Ces mots de passe sont généralement liés à un appareil, ce qui signifie qu'ils ne sont associés qu'au téléphone sur lequel ils ont été créés.
Cela implique que, Si le téléphone portable est perdu, le code d'accès ne sera pas synchronisé avec un autre appareil.Cela peut paraître contraignant au premier abord, mais cela optimise la sécurité. L'utilisateur peut reconfigurer un autre code d'accès en utilisant d'autres méthodes de vérification, telles que les systèmes d'identité numérique délivrés par l'État ou les codes temporaires.
Une pratique recommandée dans ces cas est avoir plusieurs appareils avec une clé d'accès configurée (par exemple, un téléphone portable et une tablette professionnelle), de sorte que si l'un tombe en panne, vous disposez toujours d'une voie d'accès sans être bloqué.
Depuis la console de sécurité, Les administrateurs peuvent consulter et révoquer les clés d'accès associées à chaque compte.Comme pour les méthodes MFA traditionnelles, cela vous permet de supprimer les clés d'accès des appareils qui ne sont plus utilisés ou qui ont été perdus.
Que se passe-t-il si je perds mon téléphone ou si je ne souhaite plus utiliser de code d'accès ?
L’une des questions les plus courantes est Que deviennent vos mots de passe si vous perdez l'appareil sur lequel ils étaient stockés ? Ou bien elle est volée. La réponse dépend du type de clé d'accès et du service.
Dans le cas des clés d'accès synchronisées via Google, Apple ou Microsoft, Leur idée est que vous puissiez les restaurer lorsque vous vous connectez sur un nouvel appareil avec votre compte principal.à condition que vous disposiez de méthodes de récupération actives (mot de passe, codes, authentification à deux facteurs, etc.).
Si la clé d'accès était liée à un seul appareil (comme dans certaines implémentations d'Authenticator), Il ne sera pas transféré automatiquement et vous devrez en créer un nouveau. lorsque vous retrouvez l'accès à votre compte par d'autres moyens.
Dans tous les cas, il est important que, si vous avez perdu un téléphone portable, Connectez-vous depuis un autre appareil et supprimez les clés d'accès associées à ce téléphone. à partir des paramètres de sécurité du service concerné.
Enfin, si vous n'êtes tout simplement pas convaincu par le système ou si vous préférez continuer à utiliser des mots de passe, Sur la plupart des plateformes, vous pouvez désactiver l'option permettant de prioriser les clés d'accès. et revenir à l'utilisation du mot de passe classique comme méthode de connexion principale, en ne conservant les clés d'accès que comme facteur secondaire.
Les clés d'accès sont apparues pour résoudre nombre de problèmes que les mots de passe rencontrent depuis des années, en combinant cryptographie robuste, authentification biométrique et une expérience utilisateur très simpleBien qu'ils coexistent encore avec les mots de passe traditionnels et que tous les services ne les prennent pas en charge, leur adoption par Google, Apple, Microsoft et les principales plateformes web indique clairement l'avenir de la connexion, et Android est devenu l'un des meilleurs terrains d'expérimentation pour commencer à les utiliser quotidiennement sans compliquer les choses.
