Google a commencé à déployer une façon de se connecter sans mot de passe aux sites web. En recourant à un téléphone (Android). Voilà ce qu'annonce l'entreprise sur un blog. Au lieu d'utiliser un mot de passe, les utilisateurs pourront se connecter au moyen d'une empreinte digitale ou d'un code chiffré. Le déploiement se fera progressivement et est actuellement limité au site web passwords.google.com, qui gère les mots de passe de Google. Les premiers appareils supportant ce mode de login sont les téléphones Pixel de Google. Le but est d'étendre ensuite la formule à d'autres services de Google, ainsi qu'à davantage de modèle récents de téléphones Android.

Il est depuis assez longtemps déjà possible d'utiliser l'empreinte digitale à des fins d'authentification sur un appareil Android, comme par exemple pour approuver un achat dans le Play Store. La nouveauté, c'est que l'empreinte digitale peut dorénavant aussi être exploitée pour s'authentifier auprès d'un service dans un navigateur web. Fin février, on apprenait que Google préparait un certificat pour FIDO2, la norme web dont le géant a besoin pour se connecter à des sites web au moyen d'empreintes digitales et de clés de sécurité via Android. C'est aussi cette norme, conjointement avec W3C WebAuthn et FIDO CTAP, que l'entreprise utilise désormais pour déployer une protection supplémentaire pour ses services.

Ces normes sont conçues pour offrir une alternative (simple) à 'azerty123' par exemple. Le monde sait en effet aujourd'hui que les mots de passe représentent une façon particulièrement piètre de sécuriser quelque chose et ce, non seulement parce qu'un mot de passe sûr est malaisé à retenir, mais aussi parce que des listes d'adresses et de mots de passe se retrouvent régulièrement à la rue. Il en résulte que toujours plus de services se tournent vers une sécurisation physique, le contrôle à deux facteurs, etc. Avec les nouvelles normes web, il devrait être possible de se connecter sur des sites web à l'aide de données biométriques ou de clés de sécurité.

FIDO2 s'avère surtout intéressante du fait que le stockage de l'empreinte digitale s'effectue localement. Vos données ne quittent donc pas votre téléphone, et seul le signal de vérification est transmis via le net.