Google veut remplacer les mots de passe par une clé physique

Selon Wired, Google songerait à se débarasser du traditionnel mot de passe. C’est le Vice Président de la sécurité chez Google lui-même, Eric Grosse,  qui évoque cette possibilité, dans un article à paraître ce mois-ci (le 28) sur IEEE Security & Privacy. Et comment s’il vous plaît ? Avec un dispositif physique comme une bague/anneau à puce, un smartphone ou encore une mini-clé USB contenant une puce.


Google mot de passe

image : wired

Actuellement, le mot de passe n’est plus suffisant pour assurer la sécurité d’un compte, même lorsqu’associé à des cookies. Pas une journée ne passe sans que des comptes sensibles (et ceux de monsieur et madame tout le monde) se fassent pirater. La double identification déjà proposée par Google (password + code envoyé sur le smartphone via message texte) fonctionne très bien mais n’est pas parfaite, car attention si vous perdez votre téléphone mobile.

Et c’est là qu’intervient Eric Grosse et son idée de clé physique (contenu dans une bague, un téléphone mobile ou une mini-carte à puce), qui fonctionnerait un peu comme des clés de maison ou de voiture. L’idée est loin d’être folle, mais on pourrait presque rigoler et se dire : « Mais alors qu’arrive t-il si l’on se fait voler cette clé informatique ou si on la perd ? ». Google travaillerait à trouver une solution à ce problème, par de multiples identifications et surtout la possibilité de déclarer rapidement la perte ou le vol de la clé. Si l’on y pense bien, c’est un peu comme si on perd sa carte de crédit et que lorsqu’on appelle le service de sécurité, on doit répondre à plusieurs questions pour s’identifier. Dans le cas de la clé à puce Google, cette identification serait probablement en ligne, à moins que le moteur mette en place un centre d’appel.

L’une des solutions envisagées par la firme de Mountain View consisterait à utiliser la carte cryptographique de Yubico (Yubikey Hardware), qui lorsqu’insérée dans un port USB se connecte automatiquement au compte de l’utilisateur (cela équivaut à entrer un mot de passe). Le futur pourrait encore être plus simple avec une connexion sans contact de cette clé physique (exemple : un petit émetteur attaché au porte-clés).

Un gros avantage d’un support hardware pour remplacer le mot de passe c’est qu’il résisterait également au fléau du Phishing (que la double identification ne peut empêcher).

Alors Google, c’est pour quand ? et surtout est-ce que l’idée, séduisante par écrit, va fonctionner dans la réalité de tous les jours pour des centaines de millions d’utilisateurs ?

Note: il y aurait aussi la voie biométrique qui serait intéressante, comme le lecteur d’empreintes digitales, déjà utilisé par certaines gammes d’ordinateurs chez Dell par exemple.

  • Pierre Perreault

    Pas viable. Un des avantages d’utiliser les services de Google comme Google Apps, c’est de pouvoir accéder à notre compte à partir de n’importe quel appareil, qu’il nous appartienne ou non. Par exemple, à partir d’un ordi public dans un lobby d’hôtel. Ou en empruntant la smartphone d’un collègue quand le notre n’a plus de batterie…deux situations que j’ai vécues personnellement. Mais qu’est qui nous garantit que tous les appareils qu’on pourrait utiliser sont muni d’un port USB, ou de Bluetooth, ou d’un lecteur d’empreintes?
    Si jamais Google accouche de cette fonction, il faudrait vraiment qu’elle soit optionnelle; ce n’est pas parce qu’une faible portion des utilisateurs ne gère pas adéquatement la sécurité de leur mot de passe qu’il faut que la majorité écope.

    Une clé physique? Non merci pour moi.

  • PH de Kaliseo

    On utilise déjà les clé d’authentifications publiques/privées pour se connecter à divers services (SSH, OpenVPN, etc.), mais si tous les services web mettent en place ce type de solutions ce sera un vrai cauchemar pour l’utilisateur … Exemple pour un avocat : un key generator pour se connecter à la HSBC, une clé pour OpenVPN, une clé pour le RPVA avec dongle, une clé pour Gmail avec dongle, etc. Bref c’est l’enfer sur terre et il va falloir sérieusement multiplier les ports USB …

  • Fnux

    Une autre solution très fiable est l’utilisation d’un lecteur (USB ou Blue Tooth entre autre) d’empreinte digitale.

    Ces dispositifs sont disponibles en standard sur certains portables (Acer par exemple), et pratiquement impossible à violer et devraient se généraliser.

    Et quand à la perte de votre « code d’accès »… improbable à moins que l’on ne vous coupe le doigt… ;=)

  • Webconsulting

    Et que se passerait-il si la clé physique était perdue ? :-)