Accueil
Cyberécurité
On peut désormais se connecter à un compte Google sans mot de passe, grâce à une clé d'accès
On peut désormais se connecter à un compte Google sans mot de passe, grâce à une clé d'accès

On n’a plus besoin d’un mot de passe pour se connecter à un compte Google

Cédric Mialaret
Cyberécurité

À partir d’aujourd’hui, on peut se connecter à un compte Google sans mot de passe, ni de vérification en deux étapes, en utilisant une clé d’accès.

D’après Google, une clé d’accès (passkey en anglais) est plus pratique et plus sûre qu’un mot de passe. Elle fonctionnerait sur toutes les plateformes majeures, et sur tous les navigateurs, en débloquant son téléphone portable ou son ordinateur à l’aide d’une empreinte digitale, une reconnaissance faciale ou l’entrée d’un PIN.

Création d’une clé d’accès

Pour créer une clé d’accès, il faut se connecter de façon traditionnelle à son compte Google.

La clé d’accès est créée et stockée localement, sur l’ordinateur ou le téléphone choisi. Lors d’une identification, aucune donnée biométrique n’est partagée avec Google ou avec tout autre service tiers.

Contrairement à un mot de passe, la clé d’accès n’existe que sur nos appareils. Elle ne pourrait pas être transmise accidentellement à une personne malintentionnée.

Quand on utilise une clé d’accès, on prouve à Google qu’on a accès à un appareil et qu’on peut le débloquer.

Cette protection serait plus sûre qu’une identification à double vérification, elle-même plus sûre qu’une identification par mot de passe uniquement.

La création d’une clé d’accès ne remplace pas les autres modes d’authentification existants, qui continuent de fonctionner quand on en a besoin, par exemple quand on utilise un appareil incompatible avec les clés d’accès.

On ne doit pas créer de clé d’accès sur un appareil partagé, car tout utilisateur de cet appareil pourrait se connecter au compte Google lié.

Quand on perd un appareil, on peut révoquer immédiatement sa clé d’accès. Sur certains appareils, il est possible d’effacer une clé d’accès à distance. C’est toujours la meilleure solution, surtout s’il contient des clés d’accès pour plusieurs services.

Inversement, une clé d’accès sur un appareil peut servir à se connecter d’un autre appareil, en obtenant une permission à usage unique.

Idéalement, on définit un numéro de téléphone ou une adresse de messagerie de récupération, au cas où une personne obtiendrait un accès à son compte.

Fonctionnement

Quand on crée une clé d’accès, une clé privée de chiffrement est stockée sur l’appareil, et une clé publique correspondante est envoyée à Google.

Quand on se connecte, Google envoi un défi à l’appareil, qu’il doit résoudre à l’aide de la clé privée. Quand on autorise l’authentification, la réponse est envoyée à Google, qui vérifie à l’aide de la clé publique si le défi a bien été signé avec la signature attendue.

Une clé étant liée à un service, il n’y a aucun risque qu’on puisse l’exploiter pour se connecter à un autre service.

La clé d’accès est conforme à des protocoles et des standards de sécurité de la FIDO Alliance et du groupe de travail W3C WebAuthn.