IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Il est désormais possible de se passer des mots de passe dans Chrome avec passkeys,
Ils sont désormais disponibles dans Chrome Stable M108

Le , par Bruno

10PARTAGES

7  0 
Après une période de test qui a débuté en octobre, Google a ajouté cette semaine la norme de connexion sécurisée sans mot de passe à la version stable M108 de Chrome. La fonctionnalité est désormais disponible avec Chrome sur les ordinateurs de bureau et les appareils mobiles fonctionnant sous Windows 11, macOS et Android. « Nous avons annoncé en octobre que la prise en charge des clés de chiffrement était disponible dans Chrome Canary. Aujourd'hui, nous avons le plaisir d'annoncer que la prise en charge des clés de passe est désormais disponible dans Chrome Stable M108 », a déclaré Ali Sarraf, Product Manager, Chrome.

Les mots de passe sont généralement la première ligne de défense dans nos vies numériques. Cependant, ils risquent d'être hameçonnés, de faire l'objet de fuites de données et même de souffrir d'une mauvaise hygiène des mots de passe. Google est conscient de ces problèmes depuis longtemps, c'est pourquoi elle a créé des moyens de défense comme la vérification en deux étapes et le Gestionnaire de mots de passe Google.


Pour faire face aux menaces de sécurité de manière plus simple et plus pratique, Google opte et évolue vers une authentification sans mot de passe. C'est là que les clés de passe entrent en jeu. Selon Google, les clés de passe sont un substitut beaucoup plus sûr aux mots de passe et aux autres facteurs d'authentification susceptibles d'être piratés. Ils ne peuvent pas être réutilisés et protègent les utilisateurs contre les attaques de phishing. Les clés de passe reposent sur des normes industrielles et fonctionnent sur différents systèmes d'exploitation et écosystèmes de navigateurs, et peuvent être utilisés pour les sites Web et les applications.

Les clés de passe suivent des modèles d'interface utilisateur déjà connus et s'appuient sur l'expérience existante de la saisie automatique de mot de passe. Pour les utilisateurs finaux, l'utilisation d'un mot de passe est similaire à l'utilisation d'un mot de passe enregistré aujourd'hui, où ils confirment simplement avec le verrouillage de l'écran de leur appareil existant, comme leur empreinte digitale. Les clés de passe sur les téléphones et les ordinateurs des utilisateurs sont sauvegardés et synchronisés via le cloud pour éviter les verrouillages en cas de perte de l'appareil.

En outre, les utilisateurs peuvent utiliser les clés stockées sur leur téléphone pour se connecter à des applications et des sites Web sur d'autres appareils. Une clé de passe est une identité unique stockée sur un ordinateur, téléphone ou tout autre périphérique, comme une clé de sécurité USB. Pour les sites Web ou les applications qui ont mis en œuvre l'API de clé de passe, elle peut permettre de se connecter par le biais d'une confirmation simple et rapide associée à la biométrie de l’appareil ou à une autre authentification sécurisée.

Les clés de sécurité sont excellentes pour la sécurité, car elles ne nécessitent pas de mot de passe qui pourrait être divulgué. Et comme toutes les grandes entreprises technologiques comme Apple, Google et Microsoft collaborent pour adopter la technologie (et le nom), l'expérience devrait devenir indépendante des appareils. La technologie repose sur la norme FIDO, qui utilise la cryptographie à clé publique, ce qui rend possible l'aspect multiplateforme.

  • Les utilisateurs peuvent créer et utiliser des clés sur les appareils Android, qui sont synchronisées de manière sécurisée via le gestionnaire de mots de passe Google ;
  • Les développeurs peuvent intégrer la prise en charge des clés de sécurité sur leurs sites pour les utilisateurs finaux utilisant Chrome via l'API WebAuthn, sur Android et d'autres plateformes prises en charge.

Google permet également de synchroniser les mots de passe d'Android vers d'autres appareils via le gestionnaire de mots de passe de l'entreprise ou un gestionnaire tiers qui le prend en charge, comme 1Password ou Dashlane.

L'utilité des clés de passe dans Chrome et dans d'autres navigateurs dépendra de la mise en œuvre par les sites de l'API WebAuthn pour accepter les clés de passe. Certains magasins en ligne comme Best Buy l'ont déjà fait, et des services comme PayPal l'ont également activé.

Avec la dernière version de Chrome, Google active les clés d'accès sur Windows 11, macOS et Android. Sur Android, les clés seront synchronisées de manière sécurisée via Google Password Manager ou, dans les futures versions d'Android, tout autre gestionnaire de mots de passe prenant en charge les clés. Une fois que vous avez enregistré une clé de passe sur votre appareil, elle peut s'afficher dans le remplissage automatique lorsque vous vous connectez pour vous aider à être plus sûr.

Sur un appareil de bureau, vous pouvez également choisir d'utiliser une clé d'accès à partir de votre appareil mobile à proximité. Comme les clés d'accès reposent sur des normes industrielles, vous pouvez utiliser un appareil Android ou iOS.

Un mot de passe ne quitte pas votre appareil mobile lorsque vous vous connectez de cette manière. Seul un code généré de manière sécurisée est échangé avec le site. Ainsi, contrairement à un mot de passe, il n'y a aucun risque de fuite. Pour permettre le contrôle des clés de sécurité, à partir de la version M108 de Chrome, il est possible de gérer vos clés de sécurité à partir de Chrome sur Windows et macOS.

PayPal a annoncé qu'il ajoutait les clés de passe comme méthode de connexion facile et sécurisée pour les comptes PayPal. PayPal est l'une des premières sociétés de services financiers à mettre les clés de passe à la disposition de ses utilisateurs. Cette norme de sécurité d'avant-garde est importante car les passkeys répondent à l'un des plus grands problèmes de sécurité sur le web, à savoir la faiblesse de l'authentification par mot de passe. Plus de 2,6 milliards d'enregistrements ont été piratés en 2017 et, parmi ces piratages, on estime que 81 % ont été causés par le vol et la devinette de mots de passe.

Pour que les clés de sécurité fonctionnent, les développeurs doivent intégrer la prise en charge des clés de sécurité sur leurs sites à l'aide de l'API WebAuthn. Depuis des années, nous collaborons avec d'autres acteurs du secteur, notamment Apple et Microsoft, les membres de l'Alliance FIDO et le W3C, afin de définir des normes d'authentification sécurisée.

Source : Chromium Blog

Et vous ?

Quel est votre avis sur le sujet ?

Trouvez-vous nécessaire l'abandon des mots de passe au profit des clés de passe ?

Voir aussi :

Google lance Passkeys pour Android pour encourager les usagers à ne plus utiliser de mot de passe, afin de réduire la fréquence des usurpations d'identité

PayPal lance les Passkeys, conçus pour remplacer les mots de passe, permettant une connexion facile et sécurisée pour les consommateurs

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de onilink_
Membre émérite https://www.developpez.com
Le 10/12/2022 à 17:41
Dès qu'il s'agit de centralisation de mots de passe c'est une ânerie.

C'est comme les gestionnaires de mots de passe qui stockent les mots de passe.... sur le cloud.
Car oui Jamy, c'est très logique!

Mais bon c'est un problème qui n'a pas de solution magique.
Soit on choisis la simplicité d'utilisation et on se retrouve plus ou moins forcé à utiliser un tiers de confiance ou une centralisation des moyens d'authentification (pour pouvoir retrouver ses identifiants en cas de perte d'appareil ou d'oublis de mot de passe).
Soit on prend le risque de perdre ses accès ou on rend la tache d'authentification bien plus complexe.

Perso j'ai choisis la méthode suivante: tous les sites ou je me fiche de la sécurité, j'utilise un passe aléatoire généré par Firefox et je lui laisse conserver les identifiants.
Les sites ou j'ai besoin d'une sécurité supplémentaire j'utilise la 2FA et un gestionnaire de passe LOCAL avec évidemment un chiffrement qui permet l'accès seulement grâce a un mot de passe maître.
Le hic dans l'histoire c'est qu'il ne faut surtout pas oublier le mot de passe maître. Et que le changer "régulièrement" peut devenir fastidieux.

Mais dans tous les cas la meilleure sécurité c'est d'éviter la centralisation et de changer régulièrement ses accès.
Même un gestionnaire de mot de passe peut être considéré comme une centralisation et est un risque potentiel.
Un accès malveillant à la machine et tout peut être compromis. Donc il faut une partition chiffrée, ce qui fait un mot de passe supplémentaire à connaître...

Bref, pas étonnant que les failles dans les entreprises soient plus souvent au niveau "de l'humain" que de la machine.
6  0 
Avatar de Fagus
Membre expert https://www.developpez.com
Le 10/12/2022 à 13:22
Je pense au contraire que c'est un progrès relatif* pour l'utilisateur lamba.

D'après ce que je lis vite fait il semble s'agir d'une authentification basée sur un secret inviolable dans un appareil de confiance, qui est utilisé par cet appareil pour répondre à un défit cryptographique unique lors du login sur un site.
C'est à dire le système FIDO qu'on trouve not. dans les yubikey, ou maintenant sur les appareils apple avec leurs puces TPM qui peuvent stocker les secrets.

Sauf que dans cette histoire les secrets sont téléversés dans le cloud de google ..., contrairement aux clés yubikey où le principe est que tout est calculé dans la puce et que toute lecture de la puce est interdite.

C'est un compromis. Si on pert sa yubikey c'est fâcheux. Avec le système de google, si on perd son téléphone on survit, mais on confie à google tous ses accès...

Néanmoins, il faut se rendre compte que le citoyen lambda utilise 12345678 comme code et est susceptible de le donner à n'importe quel hameçonnage.

Bref, ça va se généraliser puisque Microsoft, Apple, Google, FIDO, etc veulent déployer ce système.
Ensuite, tout dépend de la capacité du système à résister à une extraction du secret si le système est corrompu. Pour ceux qui le stockent dans un TPM, ça doit être assez costaud (Apple...).

* Progrès relatif, car tout centraliser chez google c'est aussi un risque énorme. Il y a quelques années la youtubeuse Heliox racontait comment elle avait accidentellement exécuté dans un moment de fatigue un troyen sur son PC avec sa session google ouverte et c'était fini. Le pirate a désactivé sa double authentification dans sa session google ouverte (car google ne demande pas la double authentification pour désactiver cette dernière, ce qui est pratique... mais c'est une énorme faille logique). D'autant que voler un compte courriel central, c'est voler via les réinitialisations de compte tous les comptes liés en général...
Je n'ai pas d'intérêt chez proton, mais sur ce scénario, c'est mieux chez eux, car une fois qu'on a activé la double authentification, elle est obligatoire pour toute action de sécurité, ce qui bloque ce scénario de vol de compte.
4  0 
Avatar de lemalo
Membre du Club https://www.developpez.com
Le 11/12/2022 à 16:04
Citation Envoyé par onilink_ Voir le message
Dès qu'il s'agit de centralisation de mots de passe c'est une ânerie.

C'est comme les gestionnaires de mots de passe qui stockent les mots de passe.... sur le cloud.
Car oui Jamy, c'est très logique!

Mais bon c'est un problème qui n'a pas de solution magique.
Soit on choisis la simplicité d'utilisation et on se retrouve plus ou moins forcé à utiliser un tiers de confiance ou une centralisation des moyens d'authentification (pour pouvoir retrouver ses identifiants en cas de perte d'appareil ou d'oublis de mot de passe).
Soit on prend le risque de perdre ses accès ou on rend la tache d'authentification bien plus complexe.

Une solution que j'utilise pour mitiger le risque du tiers de confiance c'est d'utiliser un mot de passe "double aveugle" pour mes comptes les plus critiques. En résumé ça consiste à ne pas enregistrer tout le mot de passe dans le gestionnaire de mots de passe.

Pour le détail, il y a une explication détaillée ici
4  0 
Avatar de JPLAROCHE
Membre expérimenté https://www.developpez.com
Le 10/12/2022 à 11:44
le system KeypassXC fonctionne depuis longtemps avec un chiffrage 256 bytes ... et en local
2  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 11/12/2022 à 23:54
Citation Envoyé par JPLAROCHE Voir le message
le system KeypassXC fonctionne depuis longtemps avec un chiffrage 256 bytes ... et en local
Tout est dit.

Citation Envoyé par Fagus Voir le message
[...]Pour ceux qui le stockent dans un TPM, ça doit être assez costaud (Apple...).[...]


Pas forcément. Il y avait un lien sur Developpez et sur Phoronix il y a quelques mois qui expliquait que des hackers avaient contourné le TPM d'un PC avec un accès sur la machine, sans soudure. Ils s'en étaient servi pour récupérer une clé Bitlocker, je crois.
2  0 
Avatar de pmithrandir
Expert éminent https://www.developpez.com
Le 10/12/2022 à 11:15
J'avoue avoir du mal a voir l'avantage de cette solution.

Si je comprend bien on a une clef privé qui génère des clefs publiques utilisées pour autoriser nos accès.

Sauf que cette clef privé est bien stockée quelque part, device, cloud google, etc...
Qu'est ce qui empêche de prendre cette clef et de l'utiliser ailleurs
Comment tous nos devices vont ils pouvoir utiliser ce système (smartphone, iOS et Android, ordi sous Linux windows ... Mais aussi les systèmes tiers plus obscurs comme un rpi etc...)

J'ai du mal a comprendre la mise en oeuvre finale.
1  0