Vous n’avez plus besoin de mots de passe pour se connecter à votre compte Google. Désormais, Google a mis en place un système utilisant des identifiants numériques liés à vos appareils. Alors, comment utiliser un passkey, c’est quoi une clés d’accès…?
Les clés d’accès permettent de remplacer plus facilement et de façon plus sûre les mots de passe. Les clés d’accès permettent aux utilisateurs de se connecter à des applications et à des sites Web à l’aide d’un capteur biométrique (par exemple, d’une empreinte digitale ou de la reconnaissance faciale), d’un code ou d’un schéma pour éviter de se souvenir et de gérer des mots de passe.
Une clé d’accès peut remplacer un mot de passe et un deuxième facteur en une seule étape. L’expérience utilisateur peut être aussi simple que de remplir automatiquement un formulaire de mot de passe. Les clés d’accès offrent une protection robuste contre les attaques d’hameçonnage, contrairement aux mots de passe uniques ou basés sur des applications. Étant donné que les clés d’accès sont standardisées, une seule implémentation permet une expérience sans mot de passe sur différents navigateurs et systèmes d’exploitation.
Qu’est-ce qu’une clé d’accès ?
Une clé d’accès est un identifiant numérique associé à un compte utilisateur et à un site Web ou une application. Les clés d’accès permettent aux utilisateurs de s’authentifier sans avoir à saisir de nom d’utilisateur ni de mot de passe, ni à fournir d’autre facteur d’authentification. Cette technologie vise à remplacer les anciens mécanismes d’authentification tels que les mots de passe.
Lorsqu’un utilisateur souhaite se connecter à un service qui utilise des clés d’accès, son navigateur ou son système d’exploitation l’aide à sélectionner et à utiliser la clé d’accès appropriée. Le fonctionnement est semblable à celui des mots de passe enregistrés actuels. Pour s’assurer que seul le propriétaire légitime peut utiliser une clé d’accès, le système lui demande de déverrouiller son appareil. Cela peut être effectué avec un capteur biométrique (par exemple une empreinte digitale ou la reconnaissance faciale), un code ou un schéma.
Pour créer une clé d’accès pour un site Web ou une application, un utilisateur doit d’abord s’enregistrer auprès de ce site ou de cette application.
- Accédez à l’application et connectez-vous à l’aide de la méthode de connexion existante.
- Cliquez sur le bouton Créer une clé d’accès.
- Vérifiez les informations stockées avec la nouvelle clé d’accès.
- Utilisez le déverrouillage de l’écran de l’appareil pour créer la clé d’accès.
Lorsqu’il accède à nouveau à ce site Web ou à cette application pour se connecter, il peut procéder comme suit:
- Accédez à l’application.
- Cliquez sur Connexion.
- Sélectionnez sa clé d’accès.
- Utilisez le déverrouillage de l’écran de l’appareil pour vous connecter.
L’appareil de l’utilisateur génère une signature basée sur la clé d’accès. Cette signature permet de valider les identifiants de connexion entre l’origine et la clé d’accès.
Un utilisateur peut se connecter à des services sur n’importe quel appareil à l’aide d’une clé d’accès, quel que soit l’emplacement où la clé d’accès est stockée. Par exemple, une clé d’accès créée sur un téléphone mobile peut être utilisée pour se connecter à un site Web sur un ordinateur portable distinct.
Comment fonctionnent les clés d’accès ?
Les clés d’accès sont conçues pour être utilisées via une infrastructure de système d’exploitation qui permet aux gestionnaires de clés d’accès de créer, de sauvegarder et de mettre à disposition des clés d’accès pour les applications exécutées sur ce système d’exploitation. Sur Chrome sous Android, les clés d’accès sont stockées dans le gestionnaire de mots de passe de Google, qui synchronise les clés d’accès entre les appareils Android de l’utilisateur qui sont connectés au même compte Google.
Les utilisateurs ne sont pas obligés d’utiliser les clés d’accès uniquement sur l’appareil où ils sont stockés. Les clés d’accès stockées sur les téléphones peuvent être utilisées lors de la connexion à un ordinateur portable, même si la clé d’accès n’est pas synchronisée avec l’ordinateur portable, tant que le téléphone se trouve à proximité de l’ordinateur portable et que l’utilisateur approuve la connexion sur le téléphone. Étant donné que les clés d’accès sont basées sur les normes FIDO, tous les navigateurs peuvent les adopter.
Par exemple, un utilisateur visite example.com
sur son Chromebook. Cet utilisateur s’est déjà connecté à example.com
sur son appareil iOS et a généré une clé d’accès. Sur le Chromebook, l’utilisateur choisit de se connecter avec une clé d’accès à partir d’un autre appareil. Les deux appareils se connecteront et l’utilisateur sera invité à approuver l’utilisation de sa clé d’accès sur l’appareil iOS, par exemple avec Face ID. Ils sont alors connectés au Chromebook. Notez que la clé d’accès n’est pas transférée vers le Chromebook. Par conséquent, example.com
propose généralement d’en créer une autre. Ainsi, le téléphone n’est pas requis la prochaine fois que l’utilisateur souhaite se connecter. Pour en savoir plus, consultez Se connecter avec un téléphone.
Considérations sur la confidentialité
- Certains utilisateurs peuvent être surpris si une authentification biométrique apparaît soudainement sur un site Web ou dans une application et considère qu’elle envoie des informations sensibles au serveur. Avec les clés d’accès, les informations biométriques de l’utilisateur ne sont jamais divulguées au site Web ou à l’application. Le matériel biométrique ne quitte jamais l’appareil personnel de l’utilisateur.
- Les clés d’accès seules ne permettent pas de suivre les utilisateurs ou les appareils entre les sites. La même clé d’accès n’est jamais utilisée avec plusieurs sites. Les protocoles de clé d’accès sont soigneusement conçus de sorte qu’aucune information partagée avec les sites ne puisse être utilisée comme vecteur de suivi.
- Les gestionnaires de clés d’accès protègent les clés d’accès contre les accès et les utilisations non autorisés. Par exemple, le Gestionnaire de mots de passe de Google chiffre les codes secrets de clé de bout en bout. Seul l’utilisateur peut y accéder et s’en servir. En outre, bien qu’elles soient sauvegardées sur les serveurs de Google, Google ne peut pas les utiliser pour usurper l’identité des utilisateurs.
Points à noter concernant la sécurité
- Les clés d’accès utilisent la cryptographie à clé publique. La cryptographie à clé publique réduit la menace d’éventuelles violations des données. Lorsqu’un utilisateur crée une clé d’accès avec un site ou une application, une paire de clés publique/privée est générée sur l’appareil de l’utilisateur. Seule la clé publique est stockée par le site, mais elle est inutile pour un pirate informatique. Un pirate informatique ne peut pas dériver la clé privée de l’utilisateur à partir des données stockées sur le serveur, qui est nécessaire pour effectuer l’authentification.
- Comme les clés d’accès sont liées à l’identité d’un site Web ou d’une application, elles sont à l’abri des attaques d’hameçonnage. Le navigateur et le système d’exploitation permettent de s’assurer qu’une clé d’accès ne peut être utilisée qu’avec le site Web ou l’application qui les a créés. Cela évite aux utilisateurs d’être obligés de se connecter à l’application ou au site Web authentique.
Avec Google