Google a officiellement commencé à déployer la prise en charge des clés de sécurité, la norme de connexion sans mot de passe de nouvelle génération, sur sa version stable du navigateur Web Chrome.
« Les clés d’accès sont un remplacement beaucoup plus sûr des mots de passe et d’autres facteurs d’authentification hameçonnables », a déclaré Ali Sarraf du géant de la technologie. « Ils ne peuvent pas être réutilisés, ne fuient pas dans les failles de serveur et protègent les utilisateurs contre les attaques de phishing. »
La fonctionnalité de sécurité améliorée, disponible dans la version 108, intervient près de deux mois après que Google a commencé à tester l’option sur Android, macOS et Windows 11.
Les clés d’accès évitent d’avoir à utiliser des mots de passe en obligeant les utilisateurs à s’authentifier lors de la connexion en déverrouillant leur appareil Android ou iOS à proximité à l’aide de la biométrie. Cependant, cela oblige les sites Web à créer un support de clé de passe sur leurs sites à l’aide de l’API WebAuthn.
Essentiellement, la technologie fonctionne en créant une paire de clés cryptographiques unique à associer à un compte pour l’application ou le site Web lors de l’enregistrement du compte. L’une de ces clés, la clé publique, est stockée sur le serveur. La clé privée, en revanche, ne quitte jamais l’appareil dans lequel les clés ont été générées.
Sur Android, les « clés » sont téléchargées sur Google Password Manager (ou un tiers comme 1Password ou Dashlane) pour empêcher les verrouillages. Les clés de passe sont synchronisées via iCloud Keychain sur iOS et macOS, tandis que Microsoft Windows devrait offrir une prise en charge en 2023.
« Lorsqu’une clé d’accès est sauvegardée, sa clé privée est téléchargée uniquement sous sa forme cryptée à l’aide d’une clé de cryptage qui n’est accessible que sur les propres appareils de l’utilisateur », a précédemment noté Arnar Birgisson, ingénieur logiciel chez Google, en octobre 2022.
L’idée est de protéger les clés d’accès de Google de manière à ce qu’un acteur malveillant au sein de l’entreprise ne puisse pas les utiliser pour se connecter à son service en ligne correspondant sans avoir accès à la clé privée.
La société Internet et de publicité devrait également mettre à disposition une nouvelle API pour fournir une prise en charge des clés de passe pour les applications Android.