Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Google synchronise enfin les clés d’accès (passkeys) sur tous les appareils

Le 20 septembre à 10h00

La gestion des clés d’accès est un élément crucial de leur succès. Devant à terme remplacer les mots de passe, elles sont considérées comme plus sécurisées et plus simples à utiliser. Mais leur disponibilité est un point essentiel et toutes les questions ne sont pas encore réglées, notamment tout ce qui touche à leur passation d’un éditeur à un autre.

Chez Google, on se décide enfin à les synchroniser sur l’ensemble des appareils à travers Chrome. Le navigateur gère en effet les clés d’accès depuis longtemps, mais on ne pouvait les enregistrer dans le Gestionnaire de mots de passe que sur Android.

L’ajout de clés d’accès peut maintenant se faire depuis Windows, macOS, Linux et Android. ChromeOS est également compatible, mais seulement en bêta pour l’instant. Dès qu’une clé a été entrée, le gestionnaire la synchronise aux autres appareils.

Enfin, Google ajoute un code PIN pour protéger le Gestionnaire de mots de passe dans Chrome, sur toutes les plateformes. Sur Android, l’identification biométrique reste privilégiée.

Le 20 septembre à 10h00

Commentaires (12)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Comment ça fonctionne en pratique ? J'avais cru comprendre que la clé privée d'une passkey ne devait pas quitter l'enclave sécurisée de l'appareil. Si elles sont synchronisées, elles peuvent être interceptées ? Je suppose qu'elles sont chiffrées (grâce au code PIN ?), mais alors quelle est l'avantage par rapport à un gestionnaire de mot de passe plus classique ?
votre avatar
Je me réponds à moi-même : ça reste plus sécurisé contre les campagnes de phishing, mais par contre les clés deviennent volables. J'ai bon ?

Ce qui semble à la base être une bonne idée ne va finalement servir qu'à enfermer un peu plus les utilisateurs dans un écosystème privé. Youhou.
votre avatar
Si tu fais une recherche sur Next, tu trouvera pleins d'articles expliquant leur fonctionnement. Il n'y a aucune raison qui ferait que les utilisateurs de passkeys soient enfermés puisque c'est un standard partagé par beaucoup d'entreprises et de projets open-source.
Je ne connais aucun mal à l'adoption des passkeys, y'a que du bon, c'est comme le cochon.
votre avatar
Je crois que tu n'as pas compris la problématique soulevé par eophea.

Le mécanisme utilisant des passkeys repose en réalité sur 2 clés : une publique, et une privée.

La clé privée est sensée être dans une enclave sécurisée dont elle ne sort pas. C'est le dispositif lui-même qui résout le challenge avec la clé privée, mais la clé privée ne quitte pas le dispositif (qui peut être virtuel, mais c'est un autre sujet).

Dès lors, parler de synchronisation, cela signifie que la clé privée peut sortir pour être dupliquée.

L'interrogation de eophea est donc tout à fait légitime (et je la partage).
votre avatar
Actuellement, tes passkeys sont uniquement sur ton téléphone. Si tu veux te connecter depuis un autre terminal, tu sors ton téléphone et tu scannes un QR Code si j'ai bien compris.

Google propose désormais de les synchroniser, uniquement entre produits Google. Conclusion : si je veux synchroniser les passkeys qui sont sur mon téléphone avec mon PC, je ne peux pas utiliser Firefox, uniquement Chrome.

Sachant qu'il y a forcément création d'un risque d'interception (que les passkeys étaient censé résoudre), quel est l'intérêt pour Google à part enfermer les utilisateurs dans leur écosystème ?

Il est probablement toujours possible de scanner un QR Code et de ne pas synchroniser, mais je sais pas pourquoi j'ai le sentiment que c'est le début de l'enfermement par Google.

Et puis c'était pas la peine de nous vendre cette solution avec des arguments à base de sécurisation renforcée grâce aux enclaves sécurisées pour finir par en sortir les clés privées déchiffrables avec un simple code PIN.
votre avatar
Je veux bien une réponse aussi 👍
votre avatar
L'article de base expliquant le fonctionnement des passkey sur next terminait sur un argument semblable :

url text

*On attend surtout la création de passerelles entre les trois gros écosystèmes, car les limitations actuelles pourraient freiner l’enthousiasme initial. Par exemple, Chrome est compatible avec le Trousseau sur iOS, mais pas sur macOS, lui interdisant de piocher automatiquement dans les passkeys. Ce n’est pas bloquant – un code QR sera affiché à la place – mais le cas montre le type de problème qui persistera pendant un temps.

Une fois que les bases seront posées, c’est ce type de cassure dans l’expérience utilisateur qui nécessitera du travail. Apple, Google et Microsoft travaillent de concert sous l’égide de l’alliance FIDO, mais on les imagine volontiers moins prompts à travailler sur l’idée d’un départ vers la concurrence. Or, ce sera la clé du succès pour les passkeys. Sans un lissage de ces frictions, elles risquent d’être considérées comme captives.*

C'est ce chaînon qui manquait pour rendre l'expérience utilisateur plus fluide. Google le propose pour son logiciel mais l'idée à terme c'est de permettre les synchronisations interOS, non ?

Selon vous, ce n'est pas souhaitable ?
votre avatar
Ce sont deux choses différentes, l'interopérabilité et la synchronisation. La première est évidemment souhaitable, la deuxième soulève quelques questions.
votre avatar
Pourtant cette synchro est déjà présente (et extrêmement pratique) dans certains passwords managers. Bitwarden depuis le début de l’année et 1Password, je crois, en preview.

Après pour moi c’est exactement la bonne implémentation et là où devraient être stockées les passkeys : dans le coffre d’un password manager lui même sécurisé par du chiffrement et l’enclave sécurisée locale ne sert, si on le souhaite, plus qu’à stocker la clé de déverrouillage du password manager (pour s’éviter la saisie de la phrase de passe).

L’intéroperabilité se faisant alors assez naturellement via les formats d’exports de ces outils qui sont déjà utilisés pour passer de l’un à l’autre (même si ils sont tous merdiques à ce niveau, contrairement à Google et autres, ils sont bien obligés de proposer cette feature si ils ne veulent pas effrayer leurs utilisateurs).
votre avatar
Je vois, présenté comme ça effectivement ça semble une bonne idée. Mais on perd quand même un des arguments en faveur des passkeys, qui est que la clé privée ne sort jamais de l'appareil.
votre avatar
En fait je viens de tester et je reviens sur ce que j’ai dit concernant les exports : pour l’instant ni Bitwarden ni 1Password n’exportent les passkeys donc pour le moment on reste enfermé dans le password manager que l’on utilise si l’on y stocke ses passkeys. Enfin les deux disent y travailler.

Ça reste toujours mieux que de rester coincé chez un constructeur de smartphone cela dit mais c’est pas fou comme situation.
votre avatar
Les gestionnaires de mots de passe proposent déjà cette expérience interOS. On peut citer protonpass qui le propose dans sa version gratuite.

Google synchronise enfin les clés d’accès (passkeys) sur tous les appareils

Fermer