Google Chrome dit adieu aux mots de passe sur Windows, Mac, Linux et Android

Mise à jour, 20 septembre 2024 : Cet article, initialement publié le 19 septembre, comprend désormais une explication concernant le craquage de mots de passe et l’utilisation de hachages.

Les clés d’accès sont sans aucun doute l’avenir de la sécurité des connexions. 1Password les a qualifiées de « presque impossibles à deviner ou à intercepter par des pirates informatiques » et Google les utilise pour remplacer la clé matérielle et l’authentification à deux facteurs pour les utilisateurs à haut risque. Google a désormais franchi une étape supplémentaire dans cette transition vers un avenir sans mot de passe : la synchronisation sécurisée entre les appareils avec Chrome sur les plateformes Windows, macOS, Linux et Android pour le moment, avec iOS encore en développement mais promis pour bientôt.

Google annonce la connexion sécurisée par mot de passe sur (presque) tous vos appareils

Jusqu’à aujourd’hui, même si presque tout le monde s’accorde à dire que les clés d’accès sont à la fois plus simples à utiliser et plus sûres que les mots de passe traditionnels, Google ne vous permettait d’enregistrer vos clés d’accès dans le gestionnaire de mots de passe qu’avec Android. Bien sûr, vous pouviez les utiliser où vous le souhaitiez, mais cela impliquait de scanner un code QR sur votre appareil Android, ce qui, d’après mon expérience personnelle, m’a fait chercher des fournisseurs de clés d’accès alternatifs tels que 1Password et Apple. Tout cela a changé avec une nouvelle annonce de Chirag Desaichef de produit Chrome chez Google, concernant les mises à jour actuellement déployées pour rendre l’expérience aussi simple qu’elle devrait l’être. Aucun code QR n’est requis.

ForbesLes utilisateurs d’iPhone sont avertis de nouvelles attaques de vol de mots de passe de messagerie électronique signaléesPar

Une fois qu’un mot de passe a été enregistré, quel que soit l’appareil que vous avez utilisé pour le faire, il sera automatiquement synchronisé sur vos autres appareils afin de vous connecter à n’importe quel compte ou service en scannant simplement votre empreinte digitale, a annoncé Desai. Cette nouvelle capacité de synchronisation s’articule autour d’un nouveau code PIN de Google Password Manager qui ajoute une autre couche de sécurité au processus, garantissant que « vos mots de passe sont cryptés de bout en bout et ne peuvent être consultés par personne, pas même par Google », a déclaré Desai.

Vous devrez disposer de votre code PIN Google Password Manager ou utiliser le verrouillage d’écran de votre appareil lorsque vous commencerez à utiliser des clés d’accès pour la première fois sur un nouvel appareil Android. Cependant, aucune nouvelle application n’est requise, car la prise en charge des clés d’accès est déjà intégrée aux appareils Chrome et Android.

Comment les pirates informatiques déchiffrent vos mots de passe

Si une nouvelle annonce concernant l’autorisation de connexion sans mot de passe est arrivée au bon moment, c’est bien celle de Google. Bien qu’aucune technologie ne puisse être sûre à 100 %, l’utilisation d’un mot de passe au lieu d’un nom d’utilisateur et d’un mot de passe combinés constitue un grand pas en avant vers un processus plus sécurisé. Une nouvelle étude de Gediminas Brencius, responsable de la croissance des produits chez NordPass, le gestionnaire de mots de passe du célèbre fournisseur de VPN NordVPN, se penche sur les techniques utilisées par les acteurs malveillants pour déchiffrer les mots de passe volés.

Commençons par le commencement : si votre mot de passe est stocké en texte clair, vous pourriez tout aussi bien l’avoir envoyé à un pirate informatique. La plupart des services utilisent ce que l’on appelle le hachage, une fonction mathématique unidirectionnelle qui convertit une chaîne de mot de passe en texte clair de longueur variable en une séquence binaire de longueur fixe. Quelle que soit la longueur de votre mot de passe ou de votre phrase de passe, le hachage aura toujours la même longueur fixe. Le principe unidirectionnel est essentiel ici, car il est facile de convertir le mot de passe en hachage, mais extrêmement difficile d’inverser le processus ; difficile, mais pas impossible. Étant donné que chaque entrée produira le même hachage en sortie, il est possible de forcer, par essais et erreurs, à quoi ressemble un mot de passe entièrement haché, mais cela prend beaucoup de temps et de ressources informatiques.

« Différents algorithmes de hachage ont des complexités de calcul différentes, qui affectent la rapidité avec laquelle un pirate peut deviner les valeurs cryptées », a déclaré Brencius. « Les algorithmes bcrypt et Argon2 sont conçus pour être lents afin de rendre les attaques par force brute plus difficiles tandis que MD5 ou SHA-1 peuvent être calculés plus rapidement. »

La rapidité est, littéralement, essentielle lorsqu’il s’agit de déchiffrer des mots de passe. L’impossible devient réalisable avec une puissance de calcul suffisante. « Les ordinateurs personnels standards sont conçus pour un usage général et disposent d’un nombre limité de cœurs, généralement de 4 à 64 », explique Brencius, « plus ils ont de cœurs, plus ils peuvent exécuter de tâches parallèles en même temps. » C’est pourquoi les acteurs malveillants cherchent à utiliser des réseaux d’appareils très puissants exécutant plusieurs cartes graphiques, pour donner accès à des milliers de cœurs. « Ils utilisent tout un réseau de machines infectées ou les ordinateurs les plus puissants pour déchiffrer les mots de passe », selon Brenicus, « ils ne possèdent pas toujours ce matériel – dans certains cas, surtout si la cible est d’une importance significative, ils peuvent louer les outils nécessaires. »

C’est pourquoi le conseil en matière de création de mots de passe sera toujours de les créer plus longs. Une chaîne de mot de passe standard de 25 caractères aléatoires, mélangeant les types de clavier, ou une phrase de passe combinant plusieurs mots aléatoires, sera ridiculement plus difficile à déchiffrer qu’une chaîne courte et simple. Bien sûr, le conseil devrait désormais être de toujours utiliser une clé de passe lorsque vous en avez une, car le pirate aurait besoin d’accéder à vos données biométriques et à votre appareil pour en déchiffrer une.

La technologie des clés de passe expliquée

Passkeys est né d’une initiative conjointe d’Apple, de Google et de Microsoft développée avec le Alliance FIDOune association industrielle ouverte qui vise à réduire la dépendance des gens aux mots de passe. Basées sur des protocoles cryptographiques à clé publique, les mêmes que ceux qui sous-tendent les clés de sécurité matérielles, les clés d’accès sont considérées comme résistantes au phishing, ce qui est d’une importance capitale compte tenu du paysage des menaces actuel. Les clés d’accès sont « résistantes au phishing et aux autres attaques en ligne », Google a déclaré« les rendant plus sûrs que les SMS, les mots de passe à usage unique basés sur des applications et d’autres formes d’authentification multifacteur. »

ForbesNouvelle alerte de sécurité Google Chrome 129 pour tous les utilisateurs : mettre à jour maintenantPar

Un identifiant de clé d’accès est intégré à l’appareil, enregistré une seule fois, puis réutilisé aussi souvent que nécessaire, à l’aide du système de vérification biométrique de l’utilisateur de l’appareil, qu’il s’agisse d’empreintes digitales ou d’un scan facial. Si aucune donnée biométrique n’est disponible, elle peut être utilisée avec un code PIN. L’important est que ce soit la possession de l’appareil par l’utilisateur, qui s’authentifie en tant que tel avec ces données biométriques, qui rend les clés d’accès sécurisées. Le serveur distant du service, du site ou du compte auquel vous essayez de vous connecter demandera simplement à l’utilisateur d’activer le verrouillage de son écran pour terminer le processus d’authentification.

Les clés d’accès sont conçues selon la norme FIDO Alliance, de sorte que toute implémentation peut fonctionner de manière transparente avec n’importe quel navigateur ou système d’exploitation. Il est important de noter que les données biométriques de verrouillage de l’écran de l’utilisateur ne sont jamais envoyées au site auquel vous vous connectez ; Google ne les verra jamais. Au lieu de cela, seule la preuve cryptographique que vous avez activé le verrouillage de l’écran avec succès est transférée. Vous pouvez les essayer sur Passkeys.iooù un simple compte de démonstration montre à quel point ils sont faciles à utiliser et à créer.