Comment créer et configurer des clés de sécurité Google

Google a récemment annoncé une nouvelle fonctionnalité appelée Passkeys pour les comptes Google personnels, qui devrait rendre la connexion à votre compte plus facile et plus sécurisée que les mots de passe. Ironiquement, la nouvelle fonctionnalité destinée à remplacer les mots de passe a été publiée lors de la Journée mondiale du mot de passe.

Pourquoi devons-nous remplacer les mots de passe ?

Bien sûr, les mots de passe étaient un excellent moyen de sécuriser les comptes lorsqu’ils ont été introduits pour la première fois, mais ils ne sont plus suffisamment sécurisés. Ils ne sont pas pratiques à utiliser et sont vulnérables aux attaques de phishing et aux fuites de données. Et ils placent une grande responsabilité sur les épaules des utilisateurs, ce qui, pour être honnête, la plupart des gens échouent.

Même si vous ne faites pas partie de ces personnes et que la création de mots de passe forts est l’un de vos super pouvoirs, vous serez étonné de savoir combien d’utilisateurs sont souvent incapables de créer des mots de passe forts. Les mots de passe comme 123456 ou password sont toujours les mots de passe les plus populaires dans le monde.

Et puis il y a ceux qui finissent par créer un mot de passe fort mais pensent ensuite que leur travail est fait et réutilisent le mot de passe sur plusieurs sites. Même si vous êtes une race rare qui utilise des mots de passe forts et ne les réutilise jamais, ils sont toujours vulnérables aux attaques de phishing, aux fuites de données et aux attaques plus notoires de « SIM swap » qui rendent même l’authentification 2SV (2FA/MFA) inutile.

Les clés de passe sont une meilleure alternative car elles transcendent ces problèmes rencontrés par les mots de passe.

Qu’est-ce qu’une clé d’accès ?

Les clés d’accès sont un nouveau type d’authentification sans mot de passe qui utilise vos données biométriques, comme une empreinte digitale, un scan du visage ou le verrouillage de l’écran de l’appareil, comme un code PIN, pour vérifier votre identité. Cela signifie que vous n’avez pas à vous souvenir de mots de passe et que vous êtes moins susceptible d’être victime d’attaques de phishing puisque vous ne pouvez pas accidentellement donner votre mot de passe à une entité nuisible.

Ils sont également plus sûrs et pratiques que les mots de passe. Puisqu’ils sont stockés sur votre appareil, ils ne sont pas vulnérables aux fuites de données. Ils sont également plus faciles à utiliser que les mots de passe, car vous pouvez vous connecter en un seul clic ou numériser au lieu de devoir saisir de longs mots de passe à chaque fois.

Les clés d’accès sont également uniques au site Web ou à l’application auxquels vous vous connectez, il n’y a donc aucun risque de les réutiliser.

Pour les utilisateurs techniques qui veulent un aperçu sous le capot, voici un petit explicatif :

Les clés de sécurité sont basées sur la norme WebAuthentication (ou « WebAuthn »), qui utilise la cryptographie à clé publique. La cryptographie à clé publique utilise deux clés : une clé publique, qui est stockée sur le serveur et visible par tous, et une clé privée, qui est une clé secrète que personne ne connaîtra pour chiffrer les données. La clé privée est stockée sur votre appareil et dans la plupart des cas, ne la quitte jamais. Dans tous les cas, il n’est jamais partagé avec le serveur.

Comment fonctionnent les clés de sécurité Google ?

Lorsque vous créez une clé d’accès pour votre compte Google, une clé privée est créée et stockée sur votre appareil. Une clé publique correspondante est également créée, qui est téléchargée sur le serveur de Google.

Lorsque vous souhaitez vous connecter à votre compte Google, votre appareil doit signer un défi unique avec la clé privée après votre approbation. Google vérifiera ensuite la signature à l’aide de la clé publique stockée sur son serveur, et si elles correspondent, vous serez connecté. Aucune des informations partagées avec Google, c’est-à-dire la signature et la clé publique, ne contiendra d’informations personnelles sur vos données biométriques.

L’appareil que vous utilisez pour les clés d’accès garantira également que la signature n’est partagée qu’avec les sites Web et les applications Google, et non avec les sites Web de phishing nuisibles. Ainsi, vous n’avez pas besoin d’être aussi vigilant lorsque vous utilisez des clés de sécurité qu’avec d’autres formes d’authentification.

Google a développé des Passkeys avec d’autres acteurs de l’alliance FIDO ; cela rend Passkeys compatible avec plusieurs appareils et systèmes d’exploitation.

Google Passkeys prend également en charge divers appareils, systèmes d’exploitation et navigateurs. Si vous êtes inscrit au programme Protection Avancée, les clés d’accès peuvent également être utilisées à la place des clés de sécurité. Ceux-ci inclus:

• Ordinateur portable ou de bureau Windows exécutant Windows 10 ou supérieur
• Appareils Mac exécutant au moins macOS Ventura
• iPhones exécutant au moins iOS 16
• Appareils Android avec Android 9 ou supérieur
• Clé de sécurité matérielle (USB) prenant en charge le protocole FIDO2

Vous aurez également besoin de l’un de ces navigateurs sur votre appareil pour utiliser Passkeys :

• Navigateur Chrome 109 ou supérieur
• Navigateur Safari 16 ou supérieur
• Navigateur Edge 109 ou supérieur

Votre appareil doit également avoir les éléments suivants activés pour pouvoir utiliser les Passkeys :

• Verrouillage d’écran
• Bluetooth (si vous souhaitez utiliser un mot de passe sur votre téléphone pour vous connecter à votre compte Google sur un autre ordinateur).

Les clés de sécurité peuvent également être disponibles sur d’autres appareils. Par exemple, si vous créez un mot de passe sur votre iPhone, il sera synchronisé avec le trousseau iCloud et sera donc disponible sur votre Mac en utilisant le même identifiant Apple. De même, si vous utilisez un gestionnaire de mots de passe, comme Google Password Manager, pour synchroniser votre mot de passe, il peut également être disponible sur d’autres appareils. Les gestionnaires de mots de passe utilisent un chiffrement de bout en bout sur les clés d’accès avant de les synchroniser afin que vous puissiez être assuré qu’elles sont toujours sécurisées.

Comment créer un mot de passe pour votre compte Google

Vous pouvez utiliser n’importe quel appareil pris en charge pour créer une clé d’accès. Pour les besoins de ce guide, nous présenterons le processus à l’aide d’un iPhone sur le navigateur Safari, mais le processus sera également le même sur d’autres appareils.

Pour créer une clé d’accès, accédez à g.co/passkeys . Vous devrez vérifier que c’est vous qui essayez de créer un mot de passe en vous connectant à votre compte.

Ensuite, appuyez sur l’option « Créer un mot de passe ».

Une fenêtre contextuelle apparaîtra ; appuyez sur « Continuer ».

Une autre fenêtre de confirmation apparaîtra à partir du trousseau iCloud (si vous êtes sur un appareil Apple) vous demandant si vous souhaitez enregistrer un mot de passe pour votre compte Google. Appuyez à nouveau sur « Continuer ». Ensuite, vérifiez votre identité à l’aide de votre empreinte digitale, FaceID ou verrouillage de l’écran.

Et c’est tout. Un mot de passe sera créé. Appuyez sur « Terminé » pour fermer la fenêtre contextuelle.

Utilisation du mot de passe pour se connecter

Désormais, la prochaine fois que vous souhaiterez vous connecter à Google ou à tout service associé, vous pourrez vous connecter avec votre clé d’accès.

Par exemple, supposons que vous vous connectiez à google.com . Appuyez sur « Connexion » et entrez les détails de votre compte.

Ensuite, sur l’écran « Utiliser votre mot de passe », appuyez sur « Continuer ».

Une fenêtre contextuelle de sécurité du trousseau iCloud apparaîtra ; appuyez à nouveau sur « Continuer ». Ensuite, confirmez votre identité à l’aide de vos données biométriques ou du code d’accès de l’appareil.

Utilisation du mot de passe pour se connecter sur un autre ordinateur

Si vous souhaitez vous connecter à votre compte Google sur un autre ordinateur, vous pouvez le faire à l’aide du mot de passe que vous venez de créer sur votre téléphone mobile. Votre téléphone doit être à proximité de votre ordinateur car un petit message Bluetooth anonyme est utilisé pour vérifier que vos appareils sont proches les uns des autres.

Reprenons l’exemple de google.com . Cliquez sur le bouton « Connexion » et entrez les détails de votre compte. Ensuite, cliquez sur « Continuer » sur l’écran « Utilisez votre mot de passe… ».

Ensuite, choisissez l’appareil qui a le mot de passe. Ici, nous avons sélectionné « Utiliser un téléphone ou une tablette ».

Un code QR apparaîtra sur votre écran. Ouvrez l’appareil photo de votre téléphone et scannez-le. Appuyez sur l’option « Connexion avec un mot de passe ». Ensuite, confirmez votre identité à l’aide de la biométrie.

S’il s’agit d’un appareil que vous possédez, vous pouvez créer un nouveau mot de passe dessus pour accélérer le processus de connexion. Accédez à g.co/passkeys sur le navigateur de votre ordinateur et répétez les mêmes étapes que celles décrites ci-dessus. Votre compte affichera également les mots de passe que vous avez déjà sur d’autres appareils.

Les clés de sécurité sont la nouvelle direction sécurisée dans laquelle nous nous dirigeons. Créez une clé de sécurité pour votre compte Google et protégez-vous contre toutes sortes de menaces qui affligent les mots de passe.