Google veut mettre fin aux mots de passe dans Android

© REUTERS
Els Bellens

Google a décroché un certificat pour Android, permettant de se connecter sans mot de passe à toutes sortes d’applis et de navigateurs. Voilà qui pourrait représenter un grand pas vers l’adoption des données biométriques d’authentification.

Google a obtenu un certificat FIDO2 pour Android. C’est ce qu’annoncent le géant technologique et la Fast Identity Online Alliance lors du Mobile World Congress de Barcelone. Cette certification signifie que les appareils tournant sur Android pourront utiliser les empreintes digitales et des clés de sécurité pour se connecter aux comptes.

Se connecter au moyen de son empreinte digitale ou d’une clé de sécurité, ce n’est certes pas nouveau, puisque c’est depuis assez longtemps déjà possible dans des applis bancaires mobiles ou dans un programme comme Itsme par exemple. Mais le certificat décroché pour Android va à présent ouvrir cette option aussi pour tous les développeurs Android. Il devrait ainsi être bientôt possible de se connecter sans mot de passe à bien plus d’applis.

La norme FIDO2 est supportée depuis quelque temps déjà par les navigateurs Google Chrome, Microsoft Edge et Mozilla Firefox et vérifie entre autres si un site est bien ‘réel’ et ne pratique pas l’hameçonnage (‘phishing’). De plus, la norme implique que les données d’authentification, telles les empreintes digitales, soient stockées sur l’appareil. “Un élément important et souvent oublié de cette technologie, c’est qu’elle permet non seulement aux utilisateurs de se connecter au moyen de données biométriques, mais qu’elle déplace aussi l’authentification d’un modèle ‘secret partagé’ – où vous et le service que vous utilisez, connaissent tous deux ce ‘secret’, tel votre mot de passe – vers un modèle asymétrique, où vous seul devez prouver que vous connaissez le secret. Le service que vous utilisez, ne le connaît donc pas lui-même”, déclare Christiaan Brand, identity et security product manager chez Google, au site technologique The Verge. L’idée est ici notamment que vos données ne puissent pas être volées en grand nombre, par exemple au cas où votre serveur mail serait touché par une fuite.

Option plus sûre

Cette adaptation n’est du reste pas le fruit du hasard. Les mots de passe, surtout ceux que l’on retient facilement, sont souvent le maillon faible du système de sécurité. Ce genre de mot de passe peut en effet parfois être deviné sur la base de connaissances personnelles ou être ‘craqué’ au moyen d’une puissance informatique suffisante. Suite à l’importante série de fuite de mots de passe à laquelle le monde technologique a été aux prises ces dernières années, il était donc logique que les développeurs se soient tournés depuis belle lurette vers d’autres options. Les données biométriques étaient une piste, parce qu’elles sont en principe plus difficiles à voler en ligne (du moins si elles sont stockées localement). De nombreux sites et applis sont entre-temps déjà passés à l’authentification à deux facteurs (par laquelle on reçoit par exemple un SMS), alors que Google a lancé l’année dernière sa propre clé de sécurité, un fragment de hardware qui doit être branché sur l’ordinateur pour pouvoir se connecter.

En ouvrant ainsi Android, le système d’exploitation le plus utilisé au monde, Google pourrait avoir une solide influence sur l’adoption de ces alternatives sécuritaires. Le certificat ne concerne pour l’instant que les appareils tournant sur Android 7 ou sur une version ultérieure, ce qui représente la moitié des utilisateurs Android, soit un milliard d’appareils. L’adaptation se fera au moyen d’une mise à jour automatique.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire