Apple, Google et Microsoft préparent l’après-mot de passe
La première règle demeure pourtant élémentaire : utiliser des mots de passe longs, uniques et différents pour chaque service. Le problème, c’est que cette discipline devient presque impossible à gérer manuellement. Personne ne peut raisonnablement mémoriser des dizaines, voire des centaines d’identifiants complexes. C’est là que les gestionnaires de mots de passe prennent tout leur sens.
Ces applications agissent comme un coffre-fort numérique. Elles stockent les identifiants, génèrent des mots de passe robustes et remplissent automatiquement les champs de connexion. Apple propose désormais son application Mots de passe, intégrée à ses appareils, tandis que Google offre Google Password Manager sur Android et dans Chrome. Dans les deux cas, l’accès au coffre-fort passe par un code, une empreinte ou la reconnaissance faciale.
Ces outils ne se contentent plus de stocker des mots de passe. Ils peuvent aussi prévenir l’utilisateur lorsqu’un identifiant est faible, réutilisé ou compromis dans une fuite de données. Apple synchronise ces informations avec le trousseau iCloud, y compris sur Windows grâce à iCloud pour Windows et à une extension Chrome. Google propose une logique comparable pour les comptes Google et les utilisateurs de Chrome.
Il faut toutefois garder en tête qu’un gestionnaire de mots de passe ne règle pas tout. Un téléphone volé alors qu’il est déverrouillé peut devenir une porte d’entrée vers plusieurs comptes. Apple mise donc sur la Protection en cas de vol de l’appareil, tandis que Google propose Identity Check et d’autres outils antivol sur Android. Le mot de passe principal du téléphone demeure ainsi une pièce critique de la sécurité personnelle.
Pour ceux qui veulent aller plus loin, des services spécialisés comme 1Password ou Bitwarden offrent davantage de souplesse entre les plateformes, avec stockage de documents, partage sécurisé et fonctions avancées. Ces solutions sont payantes, mais elles peuvent convenir à ceux qui utilisent plusieurs écosystèmes à la fois ou qui veulent séparer leurs identifiants de ceux fournis par Apple ou Google.
La deuxième couche de protection reste l’authentification à deux facteurs. Elle ajoute un code temporaire au moment de la connexion. Ce code est souvent envoyé par texto, mais plusieurs experts recommandent plutôt une application d’authentification dédiée, comme Google Authenticator, Microsoft Authenticator ou Authy. Le texto est pratique, mais il demeure plus exposé à certains détournements de numéro ou attaques ciblées.
La vraie transformation pourrait toutefois venir des passkeys, ou clés d’accès. Cette technologie vise à remplacer le mot de passe traditionnel par une authentification liée à l’appareil, au code de déverrouillage ou à la biométrie. En clair, on se connecte comme on déverrouille son téléphone, sans avoir à taper une suite de caractères susceptible d’être volée.
Apple a introduit les clés d’accès sur ses appareils en 2022, Google les a déployées pour ses comptes en 2023, et Microsoft comme Samsung les prennent aussi en charge. Des services comme Amazon, eBay et PayPal les utilisent déjà. La transition sera graduelle, car tous les sites ne les acceptent pas encore, mais le mouvement est lancé.
Les passkeys reposent sur une cryptographie plus robuste que les mots de passe classiques. Le site ne reçoit pas un secret réutilisable, mais vérifie une preuve liée à l’appareil de l’utilisateur. Résultat : un pirate ne peut pas simplement voler une base de mots de passe et la réutiliser ailleurs. C’est une amélioration importante dans un contexte où les fuites de données sont devenues presque routinières.
Cette évolution ne signifie pas que l’utilisateur peut tout déléguer à la technologie. Il faut encore activer les bonnes options, garder ses appareils à jour, retirer les anciennes méthodes de récupération devenues risquées et vérifier régulièrement les paramètres de sécurité des comptes importants. Google conseille d’ailleurs de conserver l’authentification à deux facteurs, même avec les clés d’accès, pour éviter les abus liés aux procédures de récupération.
Le mot de passe n’a pas encore disparu, mais il n’est plus seul au front. Gestionnaires sécurisés, authentification à deux facteurs, protections antivol et clés d’accès forment désormais une défense en plusieurs couches. Pour l’utilisateur moyen, le message est simple : il n’est plus nécessaire d’être expert en cybersécurité pour améliorer nettement sa protection. Encore faut-il prendre quelques minutes pour activer les outils déjà disponibles dans son téléphone intelligent ou son navigateur.
Dans un monde où presque tout passe par un compte en ligne, la sécurité numérique commence souvent par un geste banal : remplacer le mot de passe réutilisé depuis dix ans. Le plus difficile n’est peut-être pas la technologie. C’est de convaincre chacun que « 123456 » n’a jamais été une stratégie.
Source : New York Times
