Google : réinitialisation du mot de passe d’1,7 milliard d’utilisateurs

0
356


Google vient d’annoncer qu’il commençait à remplacer le mot de passe de plusieurs utilisateurs d’Android afin de vérifier l’identité des personnes.

Dans un post datant du 12 août 2019 sur le Google Security Blog, Dongjing He et Christan Brand ont expliqué que « les nouvelles technologies peuvent menacer la sécurité de nos mots de passe. ». En gardant cela à l’esprit, ils ajoutent : « Google est heureux de vous annoncer que vous allez pouvoir vérifier votre identité tout en utilisant votre empreinte digitale au lieu de rentrer votre mot de passe lorsque vous utilisez certaines applications Google ».

Qu’est-ce que cela signifie ?

À vrai dire, très peu pour l’instant. Considérez-le comme une intention de passer à un avenir sans mot de passe, de la même manière que Microsoft a signalé son intention de remplacer les mots de passe Windows 10 de 800 millions d’utilisateurs. Dans les deux cas, le dénominateur commun est l’authentification FIDO2.

L’Alliance FIDO, qui signifie « Fast Identity Online », est un organisme qui a pour mission de résoudre le problème des mots de passe en utilisant des normes afin de piloter des technologies pouvant les remplacer en toute sécurité. FIDO2 est un ensemble de normes de ce type qui permettent d’ouvrir une session en s’appuyant sur une sécurité cryptographique forte. Les changements apportés par Google sont « le résultat d’années de collaboration entre Google et de nombreuses autres organisations de l’Alliance FIDO et du W3C », selon l’annonce. Le W3C est le World Wide Web Consortium, et il a récemment approuvé une norme pour une interface de programmation d’application d’authentification Web (API) appelée WebAuthn, après trois ans de discussions et de tests.

C’est la première fois que Google permet aux applications Android et aux services Web d’utiliser les mêmes identifiants biométriques, à savoir votre empreinte digitale. Vous pouvez enregistrer votre empreinte digitale une fois sur votre smartphone et l’utiliser pour accéder en toute sécurité à vos applications et services Web, c’est en quelques sortez l’avenir.

Pour l’instant, cependant, il est limité au seul service Google Password Manager. Rien n’indique quand les utilisateurs pourront utiliser leur empreinte digitale, ou leur PIN, pour accéder à Gmail par exemple.

Quand Google lancera-t-il la réinitialisation de votre mot de passe ?

Le passage à un avenir sans mot de passe pour accéder aux services Google a déjà commencé. Selon l’annonce, le changement est immédiat. Cependant, une mise en garde s’impose : le déploiement ne commence qu’avec les appareils Android Pixel mais sera disponible pour « tous les appareils Android 7+ au cours des prochains jours ».

Avec les dernières statistiques montrant qu’il y a maintenant 2,6 milliards d’appareils Android actifs, et 68% d’entre eux utilisent Android 7 ou plus, cela signifie que 1,7 milliard de personnes pourraient être en ligne pour des connexions sans mot de passe à Google.

Est-ce une bonne chose pour la sécurité de Google ?

La question est réellement de savoir à quel point cela est bon pour la sécurité. Bien qu’il n’y ait guère de doute sur le fait que la modification des mots de passe soit souvent au cœur des rapports d’atteinte à la protection des données, cela a moins à voir avec le mécanisme des mots de passe lui-même qu’avec la façon dont l’utilisateur le met en œuvre. La réutilisation des mots de passe est très répandue, tout comme les mots de passe faibles qui sont facilement et rapidement piratés par les hackers avec des applications et une puissance de calcul dédiées à cet effet.

En passant à la biométrie, l’utilisateur peut maintenir un niveau de sécurité convenable, de plus elle n’est jamais envoyée aux serveurs Google car elle reste stockée en toute sécurité sur votre appareil avec seulement une « preuve cryptographique » d’un scan envoyé à la place.

Cependant, comme l’indique un rapport d’Ars Technica, « si les tribunaux ne sont pas unanimes, ils accordent souvent plus de latitude aux accusés qui refusent de divulguer leurs mots de passe, car cela revient à témoigner contre soi-même. Les informations biométriques, en revanche, sont souvent considérées comme des preuves que les enquêteurs peuvent confisquer ». Malheureusement, il y aura toujours un compromis à faire entre la commodité et la sécurité.

Mais bien souvent, pour la plupart des gens, la biométrie l’emporte.

Principalement parce que les utilisateurs ne “choisissent pas les bons mots de passe”, de nombreux professionnels de la sécurité recommandent l’utilisation d’un gestionnaire de mots de passe qui permet à l’utilisateur de créer des mots de passe fortement sécurisés pour chaque site ou applications, de les stocker en toute sécurité et de gérer le processus de connexion automatiquement, vous n’aurez donc plus à vous rappeler d’un mot de passe. Sauf un, votre mot de passe principal pour accéder au coffre-fort du gestionnaire de mots de passe, bien sûr.

La disparition des mots de passe ?

Le 10 septembre 2013, Heather Adkins, directrice de la sécurité et de la protection de la vie privée chez Google, a déclaré que « les mots de passe se font chez Google », lors d’une réunion d’experts. Depuis, il y a eu de plus en plus d’informations selon lesquelles Google contribue à faire disparaître le mot de passe.

A partir de maintenant, le mot de passe semble sûr pour un certain temps encore. Bien qu’il faille généralement se réjouir de cette évolution vers un mot de passe “sans mot de passe”, cela ne signifie pas pour autant que le mot de passe est mort ou même en phase terminale. Les mots de passe resteront un élément de sécurité.

Avec Forbes


Source : l-frii.com