Google met en garde 2 milliards d'utilisateurs : l'ère des mots de passe est révolue. Protégez le monde avec les "passkeys".

Google met en garde 2 milliards d'utilisateurs : l'ère des mots de passe est révolue. Protégez le monde avec les "passkeys".

2025年06月22日 14:38

Table des matières

  1. Qu'est-ce qu'une clé d'accès ? La différence cruciale avec les mots de passe

  2. La réalité révélée par la fuite de 16 milliards de données

  3. La stratégie de Google "Clé d'accès par défaut"

  4. Explication technique : Fonctionnement de FIDO2/WebAuthn

  5. État de l'adoption mondiale : Apple, Microsoft et les principaux sites

  6. Du point de vue de l'utilisateur : Procédures de configuration et dépannage

  7. Pour les entreprises et les développeurs : Meilleures pratiques de mise en œuvre et d'exploitation

  8. Confidentialité et sécurité des données biométriques

  9. Défis mondiaux et déploiement dans les pays en développement

  10. Conclusion : L'avenir après les mots de passe


1. Qu'est-ce qu'une clé d'accès ? La différence cruciale avec les mots de passe

Une clé d'accès est une information d'identification asymétrique utilisant la cryptographie à clé publique, où la clé privée est conservée par l'utilisateur et la clé publique par le serveur. Comme la clé privée ne quitte jamais l'appareil, elle est résistante au phishing et aux attaques par rejeu.

De plus, elle permet la signature via des méthodes de déverrouillage natives de l'OS telles que l'empreinte digitale, la reconnaissance faciale ou le code PIN, éliminant ainsi le fardeau de la mémorisation et accélérant l'expérience utilisateur. Selon Google, la vitesse de connexion est améliorée d'environ 40 % par rapport aux mots de passe.blog.google



2. La réalité révélée par la fuite de 16 milliards de données

En juin 2025, une enquête de Cybernews a révélé que 30 ensembles de données massifs avaient été exposés, totalisant 16 milliards d'ID et de mots de passe circulant sur le marché noir. Des informations d'identification réutilisées sur plusieurs services tels que Google, Apple et Meta étaient incluses, et les experts ont averti que "cela équivaut à deux informations d'identification divulguées par personne dans le monde".cbsnews.comm.economictimes.com



3. La stratégie de Google "Clé d'accès par défaut"

À partir d'octobre 2023, Google a défini la clé d'accès par défaut pour les comptes personnels et prévoit d'étendre cette mesure de 200 millions à 2 milliards d'utilisateurs d'ici juin 2025. L'option "Passer le mot de passe lorsque possible" sera activée par défaut, et utilisable sur des services tels que Gmail, YouTube et Maps.

Google a déclaré que "désormais, la clé d'accès sera la première méthode d'authentification, le mot de passe étant relégué au statut de technologie héritée".blog.googlefidoalliance.org



4. Explication technique : Mécanisme de FIDO2/WebAuthn

  • FIDO2 : Échange de cryptographie à clé publique entre le client (appareil compatible CTAP2) et la plateforme (navigateur).

  • WebAuthn API : Norme de navigateur appelée en JavaScript. Enregistre la clé publique sur le serveur lors de l'inscription et retourne la signature de défi lors de l'authentification.

  • Multi-facteurs vs Multi-étapes : La clé d'accès combine "possession + biométrie" en une seule étape MFA.



5. Adoption mondiale : Initiatives d'Apple, Microsoft et des principaux sites

Apple intègre la chaîne de clés iCloud à partir d'iOS 17, et Microsoft propose Windows Hello comme authentificateur FIDO2. eBay, Uber et WhatsApp prévoient de prendre en charge les clés d'accès d'ici 2025. Des expérimentations sont en cours sur les portails gouvernementaux et les institutions financières dans divers pays.



6. Du point de vue de l'utilisateur : Procédures de configuration et dépannage

  1. Compte Google → Sécurité → Clé d'accès pour générer.

  2. Synchronisation automatique à partir d'Android 14 et iOS 17.

  3. Les anciens appareils utilisent une clé de sécurité FIDO (USB / NFC) comme sauvegarde.

  4. Lors du changement d'appareil, transférez en toute sécurité avec iCloud ou Google Password Manager.

  5. En cas d'erreur, vérifiez les paramètres WebAuthn du navigateur et l'enregistrement de l'authentification biométrique de l'OS.



7. Pour les entreprises et développeurs : Meilleures pratiques d'implémentation et d'exploitation

  • Envisagez le projet WebAuthn Level 3 et rendez obligatoire la clé résidente.

  • Utilisez l'API de provisionnement pour permettre aux utilisateurs de récupérer leurs appareils perdus.

  • Concevez une transition progressive comme "clé d'accès uniquement" ou "clé d'accès + OTP".

  • Intégrez “webauthn-signature-counter” dans l'audit des journaux pour détecter les clés réutilisées.



8. Confidentialité et sécurité des données biométriques

Les clés d'accès netransmettent pas les données biométriques elles-mêmes au serveur. L'OS effectue la correspondance localement et ne renvoie qu'un indicateur de réussite ou d'échec, garantissant que les empreintes digitales ou les images faciales ne restent pas dans le cloud.La conception est conforme aux réglementations sur la protection des données personnelles (GDPR, CCPA, loi révisée sur la protection des informations personnelles).



9. Défis mondiaux et déploiement dans les pays en développement

De nombreux appareils Android Go bon marché et PC publics ne sont pas équipés de capteurs biométriques. Dans ce cas, il est nécessaire d'utiliser une combinaison de PIN et de clé de sécurité ou un fallback par SMS OTP. Il est rapporté que la FIDO Alliance prévoit de publier la spécification “Passkey Lite” d'ici 2025 (implémentation légère pour les appareils à faible performance).



10. Conclusion : Vision du futur après le mot de passe

  • Court terme : Les principaux services Web rendent les clés de passe obligatoires, les mots de passe devenant un moyen de secours.

  • Moyen terme : Les appareils équipés de modules de sécurité matériels (TPM) deviennent la norme.

  • Long terme : Évolution vers une infrastructure d'authentification “auto-souveraine” en combinaison avec des identités décentralisées (DID).


    L'avertissement de Google marque la fin de 30 ans de pratiques centrées sur le mot de passe. Il est temps pour tous les utilisateurs d'Internet dans le monde d'agir.


Liste des articles de référence

  • CBS News « 16 billion login credentials from Google and other sites leaked online » (2025-06-20) cbsnews.com

  • The Economic Times « How to secure your Google account after the 16 billion passwords leaked » (2025-06-20) m.economictimes.com

  • Google Official Blog « Passwordless by default: Make the switch to passkeys » (2023-10-10) blog.google

  • MSN/FIDO Alliance « Google Pushes 2 Billion Gmail Users to Adopt Passkeys Over Passwords » (2025-06-17) fidoalliance.org

← Retour à la liste d'articles