Google tue vos mots de passe et les experts en sécurité sont (pour la plupart) satisfaits
Google est sur le point de rendre les mots de passe obsolètes. La solution s'appelle « Passkeys », une forme unique de mot de passe stockée localement sur votre téléphone ou votre PC, de la même manière que fonctionne une clé de sécurité physique. Les mots de passe sont protégés derrière une couche d'authentification, qui peut être votre empreinte digitale ou une numérisation de votre visage, ou simplement un motif ou un code PIN à l'écran.
Les clés d'accès sont plus rapides, liées entre les plates-formes et vous évitent d'avoir à mémoriser les mots de passe des sites Web ou des services auxquels vous êtes abonné. Les risques d’erreur humaine sont moindres et les risques d’interception du code d’authentification à 2 facteurs sont également réduits.
Développé en collaboration avec Microsoft et Apple, Google prend désormais les mesures suivantes pour généraliser les clés d'accès en en faisant l'option de connexion par défaut . Vous ne serez pas obligé d'abandonner vos méthodes de connexion habituelles, mais si vous n'avez pas déjà activé les clés d'accès , vous serez poussé la prochaine fois que votre compte Google sera utilisé pour une demande de connexion.
Pourquoi les mots de passe sont meilleurs que les mots de passe
Les clés d'accès utilisent ce que vous appelleriez une poignée de main numérique, qui consiste à créer une paire de mots de passe à l'aide de méthodes cryptographiques. L'un est stocké avec l'application ou le service Web, tandis que l'autre reste chez l'utilisateur, protégé par un mot de passe sur l'appareil ou une authentification biométrique. Aucun code à deux facteurs n'est impliqué et tout ce que vous avez à faire est d'appuyer sur une invite sur votre appareil pour autoriser la vérification d'identité.
Trevor Hilligoss, qui a auparavant travaillé comme expert en sécurité auprès du FBI et gère actuellement la recherche sur la sécurité chez SpyCloud, explique à Digital Trends que les mots de passe sont « forts par nature, et c'est pourquoi de nombreuses équipes de sécurité préfèrent ce mode de défense ». Le plus grand avantage ici est qu’ils ne sont pas supprimés comme votre mot de passe alphanumérique moyen lors de violations de données. Il s'agit d'un problème pour plusieurs raisons, car un nombre alarmant de citoyens numériques réutilisent le même mot de passe, ou une forme modifiée de manière prévisible, dans différents services.
Les clés d'accès sont plus rapides (jusqu'à 40 %, selon Google), plus sûres et plus pratiques. Mais Hilligoss prévient qu’ils ne constituent pas exactement une solution miracle en matière de sécurité numérique. "Les cybercriminels s'adaptent rapidement à cette technologie en passant du vol d'identifiants de compte aux méthodes de récupération de compte, en développant des tactiques pour voler des clés d'accès et en lançant des attaques telles que le piratage de session."
Les clés d'accès sont bonnes, mais elles ne sont pas parfaites
Hilligoss souligne une technique appelée détournement de session – également connue sous le nom de détournement de cookies – dans laquelle un pirate informatique tente de prendre le contrôle de votre session de navigation en ligne pour voler des données sensibles. Essentiellement, les mauvais acteurs trompent un site Web en lui faisant croire qu'il s'agit d'un utilisateur légitime. Lorsqu'une personne visite un site Web, un identifiant de session est créé et reste souvent actif pendant plusieurs jours.
Ces données de session sont stockées sous forme de chiffres et de lettres dans des cookies de session temporaires et restent dans le navigateur jusqu'à ce que l'utilisateur soit déconnecté. Les pirates peuvent voler les identifiants de session en injectant des scripts dans des pages Web, en interceptant le trafic réseau, en installant de manière trompeuse des logiciels malveillants sur l'appareil de la victime ou simplement en utilisant la prédiction de modèles.
"Une fois que l'attaquant a détourné une session Web, il peut faire tout ce que l'utilisateur d'origine peut faire, y compris acheter des articles, voler des informations personnelles confidentielles ou accéder à des comptes bancaires", ajoute Hilligoss. Dans de telles attaques, peu importe si la connexion a été autorisée à l'aide d'un mot de passe ou de clés d'accès traditionnelles.
Ce que tout cela signifie pour vous
Les clés d'accès sont liées à Google Password Manager, tandis qu'Apple intègre le trousseau iCloud, ce qui signifie que les clés d'accès sont également synchronisées entre les appareils. Par défaut, Google crée également automatiquement un mot de passe pour les appareils Android fraîchement activés. Cependant, à mesure que nous abandonnons les mots de passe, les pirates informatiques progressent également en utilisant des techniques plus sophistiquées.
Les clés d'accès ne bloqueront pas non plus d'autres formes de cyberattaques, comme le déploiement de logiciels malveillants sous diverses formes, un escroc se faisant passer pour un responsable de banque lors d'un appel téléphonique (bonjour, l'enfer de l'IA générative), les attaques d'ingénierie sociale, et bien plus encore. Les clés d’accès ne résolvent qu’un côté de la faille de sécurité, mais elles ne constituent pas une panacée.
La culture numérique restera d’une importance capitale dans les années à venir, à mesure que les services tiers adopteront progressivement les mots de passe. Hilligoss suggère de préférer l'authentification à 2 facteurs basée sur une application, de continuer à changer les mots de passe à intervalles réguliers, de revérifier les URL et les liens qu'ils reçoivent et de rester vigilant concernant les appels téléphoniques provenant de numéros inconnus.
« Une bonne cyber-hygiène et une bonne visibilité sur vos comptes en ligne contribueront grandement à garder une longueur d'avance sur les cybercriminels », conclut-il.