Google travaille depuis longtemps sur diverses solutions pour en finir avec les mots de passe classiques, bien souvent trop faibles. La société teste actuellement une solution qui permettrait à une application mobile, sur Android ou iOS, de prendre le relai sur les tentatives de connexion.
Les mots de passe sont un vieux problème. Apple, Google, Microsoft, Amazon et les autres ont des politiques de création de mots de passe qui se sont renforcées avec le temps, mais un grand nombre d’utilisateurs traine les mêmes « casseroles » depuis des années, sans parler de la réutilisation des mots de passe sur plusieurs sites, permettant des piratages de comptes en série.
Les solutions envisagées et proposées sont nombreuses : figure géométrique en reliant des points, dessin sur une image, analyse de l’empreinte digitale, de l’iris, reconnaissance faciale et ainsi de suite. Contre la pauvreté d’une grande partie des mots de passe, beaucoup essayent également de mettre en place et de promouvoir l’authentification à deux facteurs, y compris des services très utilisés comme Facebook et Twitter, mais cette utilisation reste encore marginale.
Valider l'authentification depuis le smartphone
Google teste donc actuellement une solution basée sur les smartphones Android et iOS. Si l’utilisateur active le service, il sera invité à valider une connexion à l’un des sites de Google en validant son identité sur son smartphone. Cette information a été révélée par un utilisateur de Reddit, publiant du même coup plusieurs captures d’écran. Interrogé par VentureBeat, Google a confirmé travailler sur un tel service.
L’éditeur a indiqué qu’il s’agissait d’un moyen efficace de lutter contre le phishing, c’est-à-dire contre les sites qui se font passer pour l’un des services de Google, afin de récupérer des identifiants. Le but est donc de valider sur le smartphone une connexion sur un site authentique. Conséquence, l’utilisateur donne son identifiant, mais pas son mot de passe, ce dernier étant géré sur le smartphone. Les sites malveillants et autres malwares voleurs de données seraient donc rendus inopérants.
Une connexion classique en cas de smartphone inaccessible
La société n’en dit guère davantage pour l’instant, mais le mail envoyé aux utilisateurs tient compte de divers scénarios, notamment ce qui peut se passe en cas de smartphone inaccessible. Dans ce cas, Google indique simplement que le site sur lequel on essaye de se connecter propose toujours d’entrer le mot de passe de manière classique. Il y a d’ailleurs fort à parier qu’un tel mécanisme de secours soit toujours présent, car même si l’utilisation du smartphone peut apporter une vraie couche supplémentaire de sécurité, il faut obligatoirement prévoir une solution de remplacement en cas de perte, de vol, de panne, de manque de batterie, de réseau ou autre.
Il est intéressant de remarquer que l’email envoyé par Google s’attarde en particulier sur le cas d’un smartphone volé ou perdu. La peur de voir ce même smartphone utilisé pour valider les connexions est effectivement légitime. Pas de soucis pour la société : c’est exactement à ça que servent Touch ID sur iPhone et l’ensemble des techniques de verrouillage de l’écran. Et de rappeler que tous les appareils récents peuvent être retrouvés via les fonctions de géolocalisation depuis les sites idoines.
Un fonctionnement amené à se renforcer
Ce type de mesure est amené à se renforcer avec le temps, et Google est loin d’être la première entreprise à proposer ce genre de mesure, même s’il s’agit d’une évolution vers la connexion principale. Mais beaucoup d’autres sociétés se servent du smartphone comme moyen complémentaire via l'authentification à deux facteurs (2FA), comme Valve et Blizzard pour générer un code aléatoire qui va valider la connexion.
On pourrait citer également les applications mobiles des banques, qui font surgir une notification invitant à la validation d’un paiement et réclamant un code secret à travers le système 3DSecure ou pour la mise en place d'un virement par exemple.
