Android veut mettre fin aux mots de passe pour s'identifier sur internet

Google souhaite renforcer la sécurité de ses appareils Android en abandonnant les mots de passe pour s’identifier sur les applications et les sites web. Les détenteurs d’appareils Android avec Nougat 7.0 ou plus récents peuvent maintenant se connecter avec leur empreinte digitale.

Ça semble un peu ironique l’idée d’améliorer la sécurité en abandonnant les mots de passe, mais Google croit que cela réduira les risques d’hameçonnage et les fuites de données.

En un sens, ils n’ont pas tout à fait tort, mais de l’autre des questions subsistent.

Android Google fin mots de passe FIDO2 identification empreinte digitale

Google veut abandonner les mots de passe sur Android pour les apps et sites web.

Un nouveau standard d’authentification sur Android

Ce sont les gens de chez Verge qui ont dévoilé l’information, alors qu’ils se sont entretenus avec un responsable de Google. Android va donc se tourner pratiquement exclusivement vers les connexions avec empreintes digitales à quelques exceptions près.

Le système d’exploitation Android 7.0 ou plus récent pour téléphone mobile et tablette prend désormais en charge un nouveau standard d’authentification nommé FIDO2. Certaines applications avaient déjà adopté la première version de FIDO, mais avec FIDO2 ce sont maintenant les navigateurs web comme Chrome, Firefox ou Edge qui pourront aussi l’offrir.

Qu’est-ce que FIDO? Il s’agit d’un acronyme pour Fast Identify Online, ou en français identification rapide en ligne. En d’autres mots, c’est la possibilité d’utiliser son empreinte digitale pour se connecter à l’un de nos comptes.

Étant donné qu’un grand nombre d’appareils Android sont maintenant dotés d’un capteur d’empreinte digitale, Android considère qu’il s’agit d’un moyen plus sûr de s’identifier plutôt que d’utiliser un mot de passe.

Et pour ceux qui ont un appareil Android sans capteur d’empreinte digitale, il est possible d’utiliser le NIP que vous utilisez pour déverrouiller votre téléphone afin de vous connecter à une application ou un site web.

"La partie importante de cette technologie, souvent négligée, n’est en réalité pas de permettre aux utilisateurs d’utiliser la biométrie pour la connexion, mais plutôt de déplacer l’authentification d’un modèle de « secret partagé »- dans lequel vous et le service avec lequel vous interagissez devez savoir. Un mot de passe "secret" comme votre mot de passe - vers un modèle "asymétrique" où il vous suffit de prouver que vous connaissez un secret, mais le service à distance n'apprend pas réellement à connaître le secret lui-même. C’est mieux à bien des égards, car une violation de vos données du côté d'un serveur ne révèle en réalité rien qui puisse compromettre les clés que vous utilisez pour accéder au service."

Christiaan Brand, Chef de produit : Sécurité et identification chez Google

Doit-on vraiment abandonner nos mots de passe?

Pour l’heure, ce ne sont évidemment pas tous les sites internet ou applications qui offrent cette identification par empreinte digitale, alors qu’ils doivent eux aussi adopter la technologie FIDO2.

À terme, Google croit que cela réduira les risques d’hameçonnage si l’on abandonne les mots de passe, alors qu’il est bien plus difficile de voler et dupliquer une empreinte digitale.

Google espère aussi que cela réduira les risques de fuite puisque les applications et services ne garderont plus nos informations personnelles.

Google Android identification empreinte digitale FIDO2 mobile tablette fin mots de passe

Doit-on vraiment abandonner les mots de passe au profit de notre empreinte digitale?

 

En théorie c’est bien beau, seulement c’est aussi accorder beaucoup de confiance en Google pour protéger nos informations sensibles.

Google semble également oublier qu’on ne peut abandonner les mots de passe en claquant des doigts, puisqu’on en a encore besoin sur nos ordinateurs par exemple pour s’identifier sur nos différents comptes et sites.

Pour l’heure, investir dans un gestionnaire de mots de passe comme 1Password ou Dashlane par exemple me semble encore très pertinent, alors qu’ils offrent une sécurité accrue pour nos mots de passe.

Et c’est là tout le nerf de la guerre, alors qu’une majorité de gens n’utilisent pas des mots de passe forts ou réutilisent le même mot de passe sur plusieurs sites et services différents. C'est ce problème précis que viennent colmater les gestionnaires de mots de passe en proposant des mots de passe forts et une diversité de mots de passe pour nos différents comptes.

Ma chronique sur le gestionnaire de mots de passe 1Password

Ma chronique sur le gestionnaire de mots de passe Dashlane

Petit bloc bas de chronique
Choix antivirus 2019 François Charron