Derrière le rideau sans mot de passe : comment le moteur Passkey Cloud de Google pourrait devenir le terrain de jeu des hackers

Imaginez un monde où les mots de passe sont obsolètes et où vos appareils “savent simplement” qui vous êtes. C’est la promesse de la révolution passkey de Google : un avenir sans mot de passe, fondé sur la magie cryptographique et la synchronisation transparente des appareils. Mais sous la surface, un puissant mécanisme cloud redessine silencieusement les lignes de front - plaçant les clés de votre royaume numérique là où les hackers viseront inévitablement.

Pendant des années, les professionnels de la sécurité ont vanté WebAuthn et FIDO comme des standards inviolables, promettant que les identifiants protégés par le matériel mettraient fin au phishing et au vol de mots de passe. Mais les attaquants se moquent des standards - ils traquent les failles dans la machinerie du monde réel. L’implémentation de Google, en réalité, est plus complexe et plus centralisée que beaucoup ne l’imaginent.

Voici comment cela fonctionne : lorsque vous activez les passkeys du gestionnaire de mots de passe Google sur votre ordinateur, Chrome enregistre discrètement votre appareil auprès d’un authentificateur cloud. Ce service, fonctionnant derrière enclave.ua5v[.]com, stocke les clés publiques liées à votre matériel et gère des blobs chiffrés de données secrètes. Les clés locales de l’appareil sont protégées dans le TPM - une puce spécialisée - mais la véritable magie de l’authentification se produit de plus en plus dans le cloud.

Le processus d’intégration génère deux paires de clés : l’une représentant votre appareil et l’autre pour la vérification de l’utilisateur, souvent protégée par un déverrouillage biométrique comme Windows Hello. Chrome envoie ces clés publiques et un identifiant d’appareil au cloud, qui émet alors d’autres clés pour que votre appareil rejoigne un “domaine de sécurité” - en somme, votre cercle de matériel de confiance. Le secret maître qui protège toutes vos passkeys est chiffré et géré par l’infrastructure de Google, avec des processus de récupération basés sur un code PIN conçus pour la commodité.

Lorsque vous vous connectez avec une passkey, Chrome ouvre une session chiffrée avec le cloud, qui génère et signe les assertions d’authentification en votre nom. Du point de vue d’un site web, cela ressemble à une connexion sécurisée, protégée par le matériel - mais les clés sont orchestrées dans le cloud, et pas seulement sur votre ordinateur ou votre téléphone.

Les chercheurs en sécurité tirent désormais la sonnette d’alarme : cette approche hybride, pensée pour l’échelle et l’ergonomie, concentre aussi le risque. Si des attaquants parviennent à subvertir l’authentificateur cloud, à abuser des processus de récupération ou à imiter des appareils de confiance, ils pourraient potentiellement prendre le contrôle de comptes utilisateurs - sans jamais casser FIDO ou WebAuthn eux-mêmes. L’enclave cloud, autrefois opérateur discret en coulisses, devient désormais la cible principale des adversaires sophistiqués.

En fin de compte, la vision sans mot de passe de Google offre de réels avantages en matière de sécurité mais exige aussi un nouvel état d’esprit. Les entreprises doivent reconnaître que “sans mot de passe” n’est pas une solution miracle - c’est un système complexe et distribué avec de nouvelles surfaces d’attaque. Les défenseurs devraient examiner ces plans de contrôle cachés, renforcer les processus de récupération et traiter l’authentificateur cloud comme le pivot critique qu’il est devenu.

WIKICROOK

• TPM : Le TPM (Trusted Platform Module) est une puce de sécurité matérielle qui protège les clés de chiffrement et l’intégrité du système, requise pour les fonctionnalités de sécurité de Windows 11.
• WebAuthn : WebAuthn est une norme mondiale permettant aux sites web de vérifier les utilisateurs de manière sécurisée sans mot de passe, en utilisant la biométrie, des clés de sécurité ou un code PIN d’appareil.
• Passkey : Une passkey est un identifiant numérique utilisant des clés cryptographiques, stocké sur votre appareil, pour vérifier votre identité sans mot de passe traditionnel.
• Enclave : Une enclave est une zone sécurisée et isolée dans le matériel ou le cloud, utilisée pour protéger les opérations et données sensibles contre tout accès non autorisé ou menace externe.
• Domaine de sécurité : Un domaine de sécurité est un groupe de confiance d’appareils autorisés à accéder et synchroniser les passkeys ou identifiants d’un compte utilisateur.