Pour une connexion à certains de ses services, Google annonce la possibilité sur Android de vérifier l'identité d'un utilisateur en ayant recours à l'empreinte digitale ou au schéma dessiné avec le doigt. Autrement dit, une connexion sans mot de passe.
Cette fonctionnalité est disponible sur les appareils Pixel et sera proposée dans les prochains jours sur tous les appareils équipés d'Android 7 ou version ultérieure. Une mise en pratique concerne... le Gestionnaire de mots de passe (passwords.google.com) avant d'autres services. Google détaille l'ouverture avec Chrome.
Une telle possibilité est à mettre en relation avec le fait que la plateforme Android a été certifiée FIDO2. Une annonce à ce sujet avait eu lieu en début d'année, sachant que FIDO2 fonctionne avec deux spécifications pour une authentification forte : WebAuthn qui est l'API Web Authentication du W3C et le protocole correspondant CTAP2 (Client to Authenticator Protocol) de l'Alliance FIDO.
D'autres navigateurs que Google Chrome sont aussi pris en charge, tandis que le capteur d'empreintes digitales de l'appareil ou d'autres méthodes pour l'authentification peuvent donc être utilisés (code PIN, schéma de déverrouillage).
Avec FIDO2, rappelons que les données sont authentifiées localement sur l'appareil. La création et le stockage de manière sécurisée des clés cryptographiques ont lieu en local et à la demande. Google souligne ainsi que l'empreinte digitale n'est jamais envoyée à ses serveurs, seule une preuve cryptographique est transmise.
