Permettez-moi de commencer par un fait douloureux : la plupart des gens ont des problèmes avec la gestion de leurs mots de passe.
Soit tous les comptes utilisent le même mot de passe (pratique, mais si l'un est volé, tous sont perdus), soit le mot de passe est trop compliqué pour que vous vous en souveniez (et vous cliquez sans cesse sur « mot de passe oublié »), soit il existe une vérification en deux étapes, mais vous devez sortir votre téléphone et saisir le code de vérification à chaque connexion (tellement pénible que vous avez envie de casser votre téléphone).
Google Passkey, qu'il promeut activement depuis 2023, vise à résoudre tous ces problèmes d'un seul coup. Plus besoin de se souvenir de mots de passe ni de saisir de codes de vérification : il suffit de scanner son empreinte digitale ou son visage pour se connecter.
On dirait un film de science-fiction ? En réalité, ce n’est pas si improbable. Lisez la suite.
Qu'est-ce qu'un Passkey exactement ?
Pour faire simple : Passkey utilise simplement votre empreinte digitale, la reconnaissance faciale ou le verrouillage de l’écran au lieu d’un mot de passe .
Comment déverrouillez-vous votre téléphone ? Par empreinte digitale ou par reconnaissance faciale, n'est-ce pas ? Passkey fonctionne sur le même principe, sauf qu'il ne sert pas à déverrouiller votre téléphone, mais à vous connecter à votre compte Google (et à un nombre croissant d'autres sites web).
Plus précisément, après avoir configuré une clé d'accès pour votre compte Google, lors de votre prochaine connexion :
- Ouvrez la page de connexion Google et saisissez votre adresse e-mail.
- Le système affiche un message vous demandant de vérifier votre identité.
- Vous appuyez sur le capteur d'empreintes digitales / vous jetez un coup d'œil à la caméra / vous saisissez le mot de passe de verrouillage de l'écran de votre téléphone.
- C'est fait, je suis entré directement.
Il n'y avait ni champ de saisie de mot de passe, ni code de vérification par SMS, ni message du type « Veuillez ouvrir l'application Google Authenticator ». L'ensemble du processus a pris deux ou trois secondes.
Les principes sous-jacents (vous pouvez sauter cette partie si vous ne souhaitez pas lire les détails techniques)
Passkey repose sur une norme technique appelée FIDO2/WebAuthn . Il ne s'agit pas d'une technologie propriétaire développée par Google, mais d'une norme ouverte établie par la FIDO Alliance, avec la participation de géants tels qu'Apple, Microsoft et Google.
Le principe simplifié est le suivant :
Lorsque vous créez une clé d'accès, votre appareil (téléphone ou ordinateur) génère une paire de clés :
- La clé privée est stockée localement sur votre appareil et n'est jamais envoyée nulle part.
- Clé publique — envoyée aux serveurs de Google pour stockage
Lorsque vous vous connectez, les serveurs de Google envoient un « défi » à votre appareil. Votre appareil le signe avec sa clé privée et le renvoie. Google vérifie ensuite la signature à l'aide de sa clé publique. Si la vérification réussit, vous êtes autorisé à vous connecter.
L'essentiel est que votre clé privée ne quitte jamais votre appareil . Les serveurs de Google ne possèdent que la clé publique. Même si Google était piraté (bien que la probabilité soit extrêmement faible), le pirate n'aurait aucune utilité pour la clé publique, car elle ne permet pas de se connecter.
C'est totalement différent des mots de passe traditionnels. Ces derniers reposent sur le principe que « vous connaissez un secret, et le serveur le connaît également », ce qui signifie qu'un pirate peut se connecter s'il obtient ce secret de l'un ou l'autre côté. Les clés d'accès, en revanche, reposent sur le principe que « seul votre appareil connaît le secret, et non le serveur », éliminant ainsi tout risque de fuite de mot de passe.
Quels sont les avantages par rapport à la cryptographie traditionnelle ?
Sans crainte des attaques de pêche
La principale faille de sécurité des mots de passe traditionnels n'est pas l'attaque par force brute, mais le phishing. Les escrocs créent une fausse page de connexion Google ; une fois votre mot de passe saisi, il tombe entre leurs mains.
Passkey ne fonctionne pas ainsi. Votre appareil vérifie le véritable nom de domaine du site web lors de l'authentification. Si le nom de domaine du faux site web ne correspond pas à accounts.google.com , l'appareil refusera la vérification. Vous n'avez même pas besoin de faire la distinction entre les sites légitimes et les faux : l'appareil s'en charge.
Je n'ai pas peur des fuites de mots de passe
Parce qu'il n'y a aucun mot de passe. Le serveur ne stocke aucune information d'identification permettant une connexion directe. Fuite de base de données ? Peu importe ; la clé publique est publique, elle est donc inutile pour eux.
Je n'ai pas peur des attaques par bourrage d'identifiants
La technique dite de « bourrage d'identifiants » consiste pour les pirates à obtenir des identifiants et mots de passe divulgués sur un site web et à les utiliser sur d'autres sites. Comme de nombreuses personnes utilisent les mêmes mots de passe, cette tactique fonctionne souvent. Cependant, un Passkey est lié à un site web spécifique, et chaque site possède une paire de clés unique ; le « bourrage d'identifiants » est donc impossible avec un Passkey.
L'expérience de connexion est bien meilleure.
Plus besoin de se souvenir de mots de passe, de saisir de codes de vérification ni d'attendre de SMS. Un simple appui sur votre empreinte digitale suffit. Franchement, une fois qu'on y a goûté, revenir à la saisie de mots de passe paraît incroyablement archaïque.
Comment configurer une clé d'accès pour votre compte Google
La procédure d'installation est très simple et peut être effectuée en cinq minutes.
Configurer sur votre téléphone
- Ouvrez
myaccount.google.comdans votre navigateur. - Connectez-vous à votre compte Google
- Accédez à la page « Sécurité ».
- Trouvez « Clés d’accès et clés de sécurité » .
- Cliquez sur « Créer une clé »
- Suivez les instructions pour vérifier votre empreinte digitale ou votre reconnaissance faciale.
- Finition
Si vous êtes déjà connecté à votre compte Google sur votre téléphone Android, le système a peut-être automatiquement créé une clé d'accès pour vous ; vous pouvez la vérifier dans vos paramètres.
Configuration sur votre ordinateur
- Ouvrez le navigateur Chrome et rendez-vous sur
myaccount.google.com - De même, allez dans « Sécurité » → « Clés et clés de sécurité ».
- Cliquez pour créer
- Si votre ordinateur prend en charge la reconnaissance d'empreintes digitales (comme Touch ID sur un MacBook), vous pouvez vérifier votre identité directement avec votre empreinte digitale.
- Si votre ordinateur ne dispose pas d'une authentification biométrique, vous pouvez en créer une en scannant un code QR avec votre téléphone portable.
Peut être configuré sur plusieurs appareils
Un compte Google peut être associé à plusieurs mots de passe. Il est recommandé d'en configurer un sur vos appareils les plus utilisés : un sur votre téléphone, un sur votre ordinateur et un sur votre tablette. Ainsi, vous pourrez vous connecter rapidement quel que soit l'appareil utilisé.
Foire aux questions
Que dois-je faire si je perds mon téléphone ?
C'est la plus grande préoccupation de tous. La réponse est : Pas de panique .
Premièrement, même si quelqu'un trouve votre téléphone, il ne pourra pas utiliser votre Passkey car il aura toujours besoin de votre empreinte digitale ou de la reconnaissance faciale pour y accéder. Deuxièmement, le mot de passe de votre compte Google et la validation en deux étapes ne sont pas supprimés ; le Passkey est une méthode de connexion supplémentaire, et non un remplacement. Même si vous perdez votre téléphone, vous pouvez toujours vous connecter avec votre mot de passe : il vous suffit d'aller dans les paramètres et de supprimer le Passkey associé à l'appareil perdu.
De plus, si vous utilisez un iPhone, votre mot de passe sera synchronisé avec vos autres appareils Apple via le Trousseau iCloud. Les appareils Android se synchronisent via Google Password Manager. Ainsi, même en cas de perte d'un appareil, votre mot de passe restera accessible sur les autres.
La clé d'accès peut-elle être utilisée sur plusieurs appareils ?
Oui, c'est possible. Si vous avez créé une clé d'accès sur votre téléphone, vous pouvez sélectionner « Utiliser un autre appareil » lors de votre connexion sur votre ordinateur, puis scanner le code QR affiché à l'écran avec votre téléphone et vérifier votre identité. Ce n'est pas très pratique, mais tout à fait acceptable pour un usage occasionnel.
Si je configure une clé d'accès, puis-je toujours utiliser mon mot de passe d'origine ?
Oui. Actuellement, les mots de passe et les clés d'accès coexistent. Définir une clé d'accès ne supprimera pas votre mot de passe et vous pourrez toujours revenir à la connexion par mot de passe. La politique actuelle de Google est de vous proposer l'utilisation d'une clé d'accès, mais ce n'est pas obligatoire.
Quels appareils prennent en charge cette fonctionnalité ?
- iPhone — iOS 16 et versions ultérieures
- Android — Android 9 et versions ultérieures (Android 14 et versions ultérieures recommandé pour une meilleure expérience)
- Mac — macOS Ventura et versions supérieures
- Windows — Windows 10 et versions ultérieures (via Windows Hello)
- Navigateurs — Chrome 109+, Safari 16+, Edge 109+
Si votre appareil est ancien, il se peut qu'il ne soit pas compatible. Cependant, les appareils achetés après 2023 devraient généralement l'être.
Outre Google, quels autres sites web prennent en charge Passkey ?
La liste s'allonge. Parmi les entreprises actuellement prises en charge : Apple, Microsoft, GitHub, PayPal, Amazon, eBay, WhatsApp, TikTok, Uber, Shopify, Adobe, Nintendo… et elle continue de s'étendre. Vous pouvez consulter la liste complète des entreprises prises en charge passkeys.directory .
Passkey remplacera-t-il complètement le mot de passe ?
Cela n'arrivera pas à court terme, mais c'est fort probable à long terme.
À l'heure actuelle, Passkey présente encore plusieurs problèmes pratiques :
- Manque de sensibilisation des utilisateurs — beaucoup de gens ignorent tout simplement l'existence de cette chose.
- Dépendance à un appareil spécifique — Son utilisation nécessite un appareil compatible, ce qui la rend peu pratique sur les ordinateurs publics.
- L'écosystème est encore en développement — la synchronisation multiplateforme (par exemple, d'iPhone à Windows) n'est pas encore suffisamment fluide.
- Prise en charge incomplète des sites web – de nombreux sites web de petite et moyenne taille n'ont pas encore été intégrés.
La tendance est claire. En 2024, Google a annoncé que l'utilisation de Passkey avait dépassé celle de la double authentification traditionnelle. Apple et Microsoft la mettent également fortement en avant au sein de leurs écosystèmes respectifs. L'Alliance FIDO travaille à résoudre le problème de la synchronisation multiplateforme.
D’ici trois à cinq ans, il se peut que l’on ne vous demande plus de définir un mot de passe lors de la création d’un nouveau compte ; vous pourrez simplement créer une clé d’accès.
Recommandation : Commencez à l'utiliser dès maintenant.
Vous n'avez pas besoin d'attendre que les clés d'accès soient largement répandues pour commencer à les utiliser. Vous pouvez en ajouter une à votre compte Google dès maintenant et profiter d'une connexion sans mot de passe.
Suggestions d'opérations :
- Commencez par créer un mot de passe sur votre appareil le plus fréquemment utilisé et familiarisez-vous avec le processus de connexion.
- Ne supprimez pas votre mot de passe d'origine ni la vérification en deux étapes ; utilisez Passkey comme méthode de connexion rapide supplémentaire.
- Configurez-le sur 2 ou 3 appareils fréquemment utilisés afin d'éviter un point de défaillance unique.
- Vérifiez si vos autres comptes fréquemment utilisés (identifiant Apple, GitHub, Amazon, etc.) prennent également en charge Passkey ; si c’est le cas, configurez-les également.
Les mots de passe existent depuis des décennies ; il est temps de changer. Les clés d'accès ne sont pas une technologie futuriste ; elles sont déjà utilisées. Plus sûres et plus pratiques, il n'y a aucune raison de ne pas les essayer.