Si vous avez entendu parler de l'« authentification sans mot de passe, » c'est l'entrée de Google dans le domaine en pleine croissance. Bien qu'il ne soit pas obligatoire d'utiliser des clés d’accès pour les utilisateurs d'Android et de Google, nous vous recommandons de l'activer parce que nous croyons que c'est désormais le moyen le plus sûr de se connecter à la recherche, Gmail, YouTube et Google Sheet chaque jour.  

Qu'est-ce qu'une clé d’accès ?

Une clé d’accès est une avancée cryptographique qui supprime le besoin de mots de passe. Avant que vos yeux ne se voilent, imaginez ceci : vous n'avez plus besoin de taper quoi que ce soit dans la petite case mot de passe lors de la connexion aux produits Google. Bien que l'authentification sans mot de passe ne soit pas encore généralisée sur Internet, le fait que Google s'y soit engagé signifie que c'est le bon moment pour se familiariser avec l'idée d'aller au-delà du mot de passe. 

Essentiellement, lorsque vous vous inscrivez à un service Google ou activez les clés d’accès, votre appareil crée deux « clés » cryptographiques, une publique et une privée. Les serveurs informatiques de Google connaissent et vérifient votre clé publique. Lorsque vous essayez de vous connecter, les serveurs de Google voient automatiquement que quelqu'un tente d'accéder à votre clé publique et envoient un « défi » à votre appareil pour s'assurer que c'est bien vous. C'est là qu'intervient la clé privée — la clé privée est stockée uniquement sur votre appareil (comme un téléphone Android ou un iPhone) et peut être protégée par des données biométriques comme FaceID ou une empreinte digitale. Une fois que vous avez permis l'utilisation de votre clé privée, le serveur valide la tentative de connexion et vous pouvez vérifier votre Gmail.  

Il est important de noter que les serveurs de Google n'apprennent jamais votre clé privée, donc aucune chaîne secrète de lettres, chiffres et symboles n'est envoyée sur Internet. Votre clé publique est inutile pour un pirate sans votre appareil contenant votre clé privée.  

Pourquoi devrais-je m'en préoccuper ?

Même si vous n'êtes pas un passionné de cryptographie, c'est tout de même une avancée importante, et nous vous recommandons d'activer les clés d’accès si vous faites partie des quelque 2 milliards de personnes qui possèdent des comptes Google.  

C'est parce qu'une clé d’accès est beaucoup plus résistante aux attaques de phishing – quelqu'un devrait physiquement voler votre appareil pour coupler votre clé privée avec votre clé publique. Même dans ce cas, un pirate devrait contourner les fonctionnalités de sécurité de votre téléphone pour avoir une chance de découvrir votre clé privée, ce qui n'est pas une mince affaire.  

Nous pensons que vous devriez activer les clés d’accès de Google pour renforcer la sécurité de votre compte Google.  

Ok, comment activer les clés d’accès de Google ?

Vous pouvez activer les clés d’accès de Google sur g.co/passkeys et leur configuration est simple. Si vous n'utilisez pas un appareil Android, vous devrez scanner un code QR avec votre appareil pour le configurer.  Si vous avez un compte Google Workspace, Google indique que vos administrateurs auront bientôt la possibilité d'activer les clés d’accès pour vous.   Il est important de noter que la synchronisation de vos clés d’accès fonctionne différemment de l'utilisation d'un gestionnaire de mots de passe. Vos clés d’accès peuvent se synchroniser uniquement avec le même système d'exploitation (comme Windows ou iOS). Pour utiliser vos clés d’accès sur plusieurs appareils avec différents systèmes d'exploitation, vous devrez utiliser des solutions de contournement comme les codes QR.   De plus, Google s'attend à ce que l'adoption des clés d’accès prenne du temps, donc les mots de passe classiques et les options d'authentification multifacteur (MFA) sont toujours là. Même si vous ne franchissez pas le pas avec les clés d’accès (mais vous devriez), nous vous recommandons au moins d'activer le MFA pour Google et tout autre compte qui l'offre. 

En savoir plus sur l'authentification sans mot de passe