Google synchronise enfin les clés d’accès (passkeys) sur tous les appareils

La gestion des clés d’accès est un élément crucial de leur succès. Devant à terme remplacer les mots de passe, elles sont considérées comme plus sécurisées et plus simples à utiliser. Mais leur disponibilité est un point essentiel et toutes les questions ne sont pas encore réglées, notamment tout ce qui touche à leur passation d’un éditeur à un autre.

Chez Google, on se décide enfin à les synchroniser sur l’ensemble des appareils à travers Chrome. Le navigateur gère en effet les clés d’accès depuis longtemps, mais on ne pouvait les enregistrer dans le Gestionnaire de mots de passe que sur Android.

L’ajout de clés d’accès peut maintenant se faire depuis Windows, macOS, Linux et Android. ChromeOS est également compatible, mais seulement en bêta pour l’instant. Dès qu’une clé a été entrée, le gestionnaire la synchronise aux autres appareils.

Enfin, Google ajoute un code PIN pour protéger le Gestionnaire de mots de passe dans Chrome, sur toutes les plateformes. Sur Android, l’identification biométrique reste privilégiée.

Commentaires (12)


Comment ça fonctionne en pratique ? J'avais cru comprendre que la clé privée d'une passkey ne devait pas quitter l'enclave sécurisée de l'appareil. Si elles sont synchronisées, elles peuvent être interceptées ? Je suppose qu'elles sont chiffrées (grâce au code PIN ?), mais alors quelle est l'avantage par rapport à un gestionnaire de mot de passe plus classique ?
Modifié le 20/09/2024 à 10h54

Historique des modifications :

Posté le 20/09/2024 à 10h53


Comment ça fonctionne en pratique ? J'avais cru comprendre que la clé privée d'une passkey ne devait pas quitter l'enclave sécurisée de l'appareil. Si elles sont synchronisées, elles peuvent être interceptées ? Je suppose qu'elles sont chiffrées, mais alors quelle est l'avantage par rapport à un gestionnaire de mot de passe plus classique ?

Je me réponds à moi-même : ça reste plus sécurisé contre les campagnes de phishing, mais par contre les clés deviennent volables. J'ai bon ?

Ce qui semble à la base être une bonne idée ne va finalement servir qu'à enfermer un peu plus les utilisateurs dans un écosystème privé. Youhou.
Modifié le 20/09/2024 à 11h02

Historique des modifications :

Posté le 20/09/2024 à 10h58


Je me réponds à moi-même : ça reste plus sécurisé contre les campagnes de phishing, mais par contre les clés deviennent volables. J'ai bon ?

eophea

Je me réponds à moi-même : ça reste plus sécurisé contre les campagnes de phishing, mais par contre les clés deviennent volables. J'ai bon ?

Ce qui semble à la base être une bonne idée ne va finalement servir qu'à enfermer un peu plus les utilisateurs dans un écosystème privé. Youhou.
Si tu fais une recherche sur Next, tu trouvera pleins d'articles expliquant leur fonctionnement. Il n'y a aucune raison qui ferait que les utilisateurs de passkeys soient enfermés puisque c'est un standard partagé par beaucoup d'entreprises et de projets open-source.
Je ne connais aucun mal à l'adoption des passkeys, y'a que du bon, c'est comme le cochon.

swiper

Si tu fais une recherche sur Next, tu trouvera pleins d'articles expliquant leur fonctionnement. Il n'y a aucune raison qui ferait que les utilisateurs de passkeys soient enfermés puisque c'est un standard partagé par beaucoup d'entreprises et de projets open-source.
Je ne connais aucun mal à l'adoption des passkeys, y'a que du bon, c'est comme le cochon.
Je crois que tu n'as pas compris la problématique soulevé par eophea.

Le mécanisme utilisant des passkeys repose en réalité sur 2 clés : une publique, et une privée.

La clé privée est sensée être dans une enclave sécurisée dont elle ne sort pas. C'est le dispositif lui-même qui résout le challenge avec la clé privée, mais la clé privée ne quitte pas le dispositif (qui peut être virtuel, mais c'est un autre sujet).

Dès lors, parler de synchronisation, cela signifie que la clé privée peut sortir pour être dupliquée.

L'interrogation de eophea est donc tout à fait légitime (et je la partage).

swiper

Si tu fais une recherche sur Next, tu trouvera pleins d'articles expliquant leur fonctionnement. Il n'y a aucune raison qui ferait que les utilisateurs de passkeys soient enfermés puisque c'est un standard partagé par beaucoup d'entreprises et de projets open-source.
Je ne connais aucun mal à l'adoption des passkeys, y'a que du bon, c'est comme le cochon.
Actuellement, tes passkeys sont uniquement sur ton téléphone. Si tu veux te connecter depuis un autre terminal, tu sors ton téléphone et tu scannes un QR Code si j'ai bien compris.

Google propose désormais de les synchroniser, uniquement entre produits Google. Conclusion : si je veux synchroniser les passkeys qui sont sur mon téléphone avec mon PC, je ne peux pas utiliser Firefox, uniquement Chrome.

Sachant qu'il y a forcément création d'un risque d'interception (que les passkeys étaient censé résoudre), quel est l'intérêt pour Google à part enfermer les utilisateurs dans leur écosystème ?

Il est probablement toujours possible de scanner un QR Code et de ne pas synchroniser, mais je sais pas pourquoi j'ai le sentiment que c'est le début de l'enfermement par Google.

Et puis c'était pas la peine de nous vendre cette solution avec des arguments à base de sécurisation renforcée grâce aux enclaves sécurisées pour finir par en sortir les clés privées déchiffrables avec un simple code PIN.
Modifié le 20/09/2024 à 16h27

Historique des modifications :

Posté le 20/09/2024 à 16h24


Actuellement, tes passkeys sont uniquement sur ton téléphone. Si tu veux te connecter depuis un autre terminal, tu sors ton téléphone et tu scannes un QR Code si j'ai bien compris.

Google propose désormais de les synchroniser, uniquement entre produits Google. Conclusion : si je veux synchroniser les passkeys qui sont sur mon téléphone avec mon PC, je ne peux pas utiliser Firefox, uniquement Chrome.

Sachant qu'il y a forcément création d'un risque d'interception (que les passkeys étaient censé résoudre), quel est l'intérêt pour Google à part enfermer les utilisateurs dans leur écosystème ?

Il est probablement toujours possible de scanner un QR Code et de ne pas synchroniser, mais je sais pas pourquoi j'ai le sentiment que c'est le début de l'enfermement pour Google.

Et puis c'était pas la peine de nous vendre cette solution avec des arguments à base de sécurisation renforcée grâce aux enclaves sécurisées pour finir par en sortir les clés privées déchiffrables avec un simple code PIN.

eophea

Actuellement, tes passkeys sont uniquement sur ton téléphone. Si tu veux te connecter depuis un autre terminal, tu sors ton téléphone et tu scannes un QR Code si j'ai bien compris.

Google propose désormais de les synchroniser, uniquement entre produits Google. Conclusion : si je veux synchroniser les passkeys qui sont sur mon téléphone avec mon PC, je ne peux pas utiliser Firefox, uniquement Chrome.

Sachant qu'il y a forcément création d'un risque d'interception (que les passkeys étaient censé résoudre), quel est l'intérêt pour Google à part enfermer les utilisateurs dans leur écosystème ?

Il est probablement toujours possible de scanner un QR Code et de ne pas synchroniser, mais je sais pas pourquoi j'ai le sentiment que c'est le début de l'enfermement par Google.

Et puis c'était pas la peine de nous vendre cette solution avec des arguments à base de sécurisation renforcée grâce aux enclaves sécurisées pour finir par en sortir les clés privées déchiffrables avec un simple code PIN.
Je veux bien une réponse aussi 👍

eophea

Actuellement, tes passkeys sont uniquement sur ton téléphone. Si tu veux te connecter depuis un autre terminal, tu sors ton téléphone et tu scannes un QR Code si j'ai bien compris.

Google propose désormais de les synchroniser, uniquement entre produits Google. Conclusion : si je veux synchroniser les passkeys qui sont sur mon téléphone avec mon PC, je ne peux pas utiliser Firefox, uniquement Chrome.

Sachant qu'il y a forcément création d'un risque d'interception (que les passkeys étaient censé résoudre), quel est l'intérêt pour Google à part enfermer les utilisateurs dans leur écosystème ?

Il est probablement toujours possible de scanner un QR Code et de ne pas synchroniser, mais je sais pas pourquoi j'ai le sentiment que c'est le début de l'enfermement par Google.

Et puis c'était pas la peine de nous vendre cette solution avec des arguments à base de sécurisation renforcée grâce aux enclaves sécurisées pour finir par en sortir les clés privées déchiffrables avec un simple code PIN.
L'article de base expliquant le fonctionnement des passkey sur next terminait sur un argument semblable :

url text

*On attend surtout la création de passerelles entre les trois gros écosystèmes, car les limitations actuelles pourraient freiner l’enthousiasme initial. Par exemple, Chrome est compatible avec le Trousseau sur iOS, mais pas sur macOS, lui interdisant de piocher automatiquement dans les passkeys. Ce n’est pas bloquant – un code QR sera affiché à la place – mais le cas montre le type de problème qui persistera pendant un temps.

Une fois que les bases seront posées, c’est ce type de cassure dans l’expérience utilisateur qui nécessitera du travail. Apple, Google et Microsoft travaillent de concert sous l’égide de l’alliance FIDO, mais on les imagine volontiers moins prompts à travailler sur l’idée d’un départ vers la concurrence. Or, ce sera la clé du succès pour les passkeys. Sans un lissage de ces frictions, elles risquent d’être considérées comme captives.*

C'est ce chaînon qui manquait pour rendre l'expérience utilisateur plus fluide. Google le propose pour son logiciel mais l'idée à terme c'est de permettre les synchronisations interOS, non ?

Selon vous, ce n'est pas souhaitable ?

swiper

L'article de base expliquant le fonctionnement des passkey sur next terminait sur un argument semblable :

url text

*On attend surtout la création de passerelles entre les trois gros écosystèmes, car les limitations actuelles pourraient freiner l’enthousiasme initial. Par exemple, Chrome est compatible avec le Trousseau sur iOS, mais pas sur macOS, lui interdisant de piocher automatiquement dans les passkeys. Ce n’est pas bloquant – un code QR sera affiché à la place – mais le cas montre le type de problème qui persistera pendant un temps.

Une fois que les bases seront posées, c’est ce type de cassure dans l’expérience utilisateur qui nécessitera du travail. Apple, Google et Microsoft travaillent de concert sous l’égide de l’alliance FIDO, mais on les imagine volontiers moins prompts à travailler sur l’idée d’un départ vers la concurrence. Or, ce sera la clé du succès pour les passkeys. Sans un lissage de ces frictions, elles risquent d’être considérées comme captives.*

C'est ce chaînon qui manquait pour rendre l'expérience utilisateur plus fluide. Google le propose pour son logiciel mais l'idée à terme c'est de permettre les synchronisations interOS, non ?

Selon vous, ce n'est pas souhaitable ?
Ce sont deux choses différentes, l'interopérabilité et la synchronisation. La première est évidemment souhaitable, la deuxième soulève quelques questions.

eophea

Ce sont deux choses différentes, l'interopérabilité et la synchronisation. La première est évidemment souhaitable, la deuxième soulève quelques questions.
Pourtant cette synchro est déjà présente (et extrêmement pratique) dans certains passwords managers. Bitwarden depuis le début de l’année et 1Password, je crois, en preview.

Après pour moi c’est exactement la bonne implémentation et là où devraient être stockées les passkeys : dans le coffre d’un password manager lui même sécurisé par du chiffrement et l’enclave sécurisée locale ne sert, si on le souhaite, plus qu’à stocker la clé de déverrouillage du password manager (pour s’éviter la saisie de la phrase de passe).

L’intéroperabilité se faisant alors assez naturellement via les formats d’exports de ces outils qui sont déjà utilisés pour passer de l’un à l’autre (même si ils sont tous merdiques à ce niveau, contrairement à Google et autres, ils sont bien obligés de proposer cette feature si ils ne veulent pas effrayer leurs utilisateurs).
Modifié le 21/09/2024 à 08h23

Historique des modifications :

Posté le 21/09/2024 à 08h20


Pourtant cette synchro est déjà présente (et extrêmement pratique) dans certains passwords managers. Bitwarden depuis le début de l’année et 1Password, je crois, en preview.

Après pour moi c’est exactement la bonne implémentation et là où devraient être stockées les passkeys : dans le coffre d’un password manager lui même sécurisé par du chiffrement et l’enclave sécurisée locale ne sert, si on le souhaite, plus qu’à stocker la clé de déverrouillage du password manager (pour s’éviter la saisie de la phrase de passe).

jpaul

Pourtant cette synchro est déjà présente (et extrêmement pratique) dans certains passwords managers. Bitwarden depuis le début de l’année et 1Password, je crois, en preview.

Après pour moi c’est exactement la bonne implémentation et là où devraient être stockées les passkeys : dans le coffre d’un password manager lui même sécurisé par du chiffrement et l’enclave sécurisée locale ne sert, si on le souhaite, plus qu’à stocker la clé de déverrouillage du password manager (pour s’éviter la saisie de la phrase de passe).

L’intéroperabilité se faisant alors assez naturellement via les formats d’exports de ces outils qui sont déjà utilisés pour passer de l’un à l’autre (même si ils sont tous merdiques à ce niveau, contrairement à Google et autres, ils sont bien obligés de proposer cette feature si ils ne veulent pas effrayer leurs utilisateurs).
Je vois, présenté comme ça effectivement ça semble une bonne idée. Mais on perd quand même un des arguments en faveur des passkeys, qui est que la clé privée ne sort jamais de l'appareil.

eophea

Je vois, présenté comme ça effectivement ça semble une bonne idée. Mais on perd quand même un des arguments en faveur des passkeys, qui est que la clé privée ne sort jamais de l'appareil.
En fait je viens de tester et je reviens sur ce que j’ai dit concernant les exports : pour l’instant ni Bitwarden ni 1Password n’exportent les passkeys donc pour le moment on reste enfermé dans le password manager que l’on utilise si l’on y stocke ses passkeys. Enfin les deux disent y travailler.

Ça reste toujours mieux que de rester coincé chez un constructeur de smartphone cela dit mais c’est pas fou comme situation.

swiper

L'article de base expliquant le fonctionnement des passkey sur next terminait sur un argument semblable :

url text

*On attend surtout la création de passerelles entre les trois gros écosystèmes, car les limitations actuelles pourraient freiner l’enthousiasme initial. Par exemple, Chrome est compatible avec le Trousseau sur iOS, mais pas sur macOS, lui interdisant de piocher automatiquement dans les passkeys. Ce n’est pas bloquant – un code QR sera affiché à la place – mais le cas montre le type de problème qui persistera pendant un temps.

Une fois que les bases seront posées, c’est ce type de cassure dans l’expérience utilisateur qui nécessitera du travail. Apple, Google et Microsoft travaillent de concert sous l’égide de l’alliance FIDO, mais on les imagine volontiers moins prompts à travailler sur l’idée d’un départ vers la concurrence. Or, ce sera la clé du succès pour les passkeys. Sans un lissage de ces frictions, elles risquent d’être considérées comme captives.*

C'est ce chaînon qui manquait pour rendre l'expérience utilisateur plus fluide. Google le propose pour son logiciel mais l'idée à terme c'est de permettre les synchronisations interOS, non ?

Selon vous, ce n'est pas souhaitable ?
Les gestionnaires de mots de passe proposent déjà cette expérience interOS. On peut citer protonpass qui le propose dans sa version gratuite.
Fermer