Les « clés de passe », vulnérables comme le MFA ?

Google clés de passe

Les « clés de passe » arrivent sur Chrome et Android, au stade expérimental. Google s’attache à démontrer la robustesse du mécanisme de récupération.

Les « clés de passe », remède universel aux mots de passe ? Nous avions posé la question en mai dernier. Apple, Google et Microsoft avaient alors réaffirmé leur engagement à implémenter ce système d’authentification forte que pousse l’alliance FIDO.

Google a franchi une étape cette semaine, en l’intégrant en bêta sur Chrome (version Canary) et sur Android (au sein des services Google Play). Passage sur les canaux stables prévu d’ici à la fin de l’année.

utilisation clé de passe

Les « clés de passe », ou identifiants FIDO multi-appareils, incluent un mécanisme de synchronisation. Sur Android, il dépend du gestionnaire de mots de passe Google. Il permet à une même clé d’exister sur plusieurs appareils. Mais aussi de récupérer des clés qui se trouvaient sur un appareil perdu, volé ou dégradé.

Clés de passe : une récupération sécurisée ?

Qui dit mécanisme de récupération dit surface d’attaque potentielle. Google ne manque d’ailleurs pas d’apporter des garanties. Dans son implémentation des clés de passe, pas d’adresse mail, de questions/réponses ou de codes maîtres, dont la vulnérabilité a fait l’objet d’études. Mais des mots de passe, des codes PIN et des schémas.

Plus précisément, pour récupérer des clés sur un nouvel appareil, il faut se connecter au compte Google auquel était lié l’ancien appareil. Puis saisir le mot de passe, le PIN ou le schéma qui permettait de déverrouiller cet appareil.

Au-delà d’un certain nombre de tentatives « jamais supérieur à 10 », la méthode de déverrouillage devient inutilisable sur le nouvel appareil. Pas sur l’ancien, qu’on peut toujours déverrouiller si on parvient à le récupérer.

Google affirme que les données qui lui permettent de vérifier la bonne saisie du PIN/schéma/mot de passe se trouvent dans des zones sécurisées sur ses serveurs. Zones qui elles-mêmes limitent les tentatives de saisie, en cas d’attaque interne à l’infrastructure.

De manière générale, toute méthode de déverrouillage retirée d’un appareil reste utilisable pendant 64 jours tant qu’on ne lui en a pas substitué une. On y portera d’autant plus attention si on soupçonne sa compromission.

Sur la feuille de route de Google figure notamment une API pour les applications Android natives. Elle permettra de choisir entre utiliser des clés de passe et des mots de passe. Les clés créées par l’intermédiaire de l’API web fonctionneront en outre avec les apps associées au même domaine.

Photo d’illustration © Tiko – Adobe Stock