Google teste sur Android le transfert des clés d’accès entre gestionnaires, un chantier critique pour réduire l’enfermement numérique sans affaiblir la sécurité.
Google se rapproche d’une fonction attendue sur Android : déplacer des clés d’accès entre plusieurs gestionnaires de mots de passe. Ces identifiants modernes, conçus pour remplacer les mots de passe classiques, réduisent l’exposition au hameçonnage et s’appuient sur la validation par l’appareil. Leur adoption a toutefois créé une dépendance aux écosystèmes. Google teste désormais des options cachées dans Google Password Manager pour importer et exporter mots de passe, clés d’accès et autres données enregistrées.
Des clés plus sûres, un verrou plus discret
La promesse des clés d’accès tient en quelques gestes. L’utilisateur ne retient plus une suite de caractères, ne réutilise plus un secret fragile et valide sa connexion depuis son téléphone ou son ordinateur. Le site ou l’application ne reçoit pas un mot de passe traditionnel, ce qui limite les scénarios d’hameçonnage les plus courants. Dans une logique cyber, le bénéfice est clair : réduire la surface d’attaque liée aux identifiants volés, aux bases compromises et aux pièges envoyés par courriel.
Cette évolution avait pourtant un revers. En simplifiant l’authentification, les grands écosystèmes ont aussi rendu la mobilité plus délicate. Une clé d’accès stockée dans un gestionnaire pouvait devenir difficile à déplacer vers un autre. L’utilisateur gagnait en protection, tout en perdant une partie de sa liberté de choix. Le problème n’était pas théorique. Changer d’application de gestion des mots de passe ne se résumait pas à exporter un fichier, puis à l’importer ailleurs. Avec les clés d’accès, le transfert suppose un cadre plus strict, précisément parce que ces éléments sont sensibles.
Google travaille sur ce point depuis l’an dernier. Selon les informations rapportées, Android n’offre pas encore la migration des clés d’accès vers des gestionnaires tiers, alors qu’Apple l’a déjà intégrée dans iOS 26 et macOS 26. Cette différence place Google sous pression. Pour rester crédible sur l’authentification sans mot de passe, Android doit permettre un passage maîtrisé entre services concurrents. La sécurité ne suffit pas si elle devient une dépendance subie.
Les tests évoqués montrent un changement concret dans Google Password Manager. Des options cachées remplacent les commandes classiques d’importation et d’exportation. Elles se nomment « Importer les mots de passe et les clés d’accès » et « Exporter les mots de passe et les clés d’accès ». Le détail compte. Google ne traite plus seulement les mots de passe comme des données migrables. Il inclut aussi les clés d’accès dans le même parcours, ce qui traduit une évolution de fond dans l’architecture d’Android.
Android Authority indique avoir activé et partiellement validé cette fonction. Le scénario d’importation paraît déjà lisible. Google Password Manager demande à l’utilisateur de choisir le gestionnaire qui détient ses clés d’accès. Il redirige ensuite vers l’application concernée. L’utilisateur peut alors transférer vers Google Password Manager ses mots de passe, ses clés d’accès et d’autres informations enregistrées. Le parcours reste encadré par les applications, non abandonné à une manipulation manuelle.
Le protocole CEP au centre du transfert
L’exportation semble moins aboutie. Aucun bouton dédié ne permet encore d’envoyer directement une clé d’accès vers une autre application. Le système devrait plutôt proposer le transfert lorsque l’utilisateur ouvre un gestionnaire compatible. Cette différence révèle l’état du chantier. Importer vers Google Password Manager paraît plus simple à matérialiser dans l’interface. Exporter vers un acteur tiers impose davantage de coordination entre Android, le gestionnaire source et l’application de destination.
Le mécanisme repose sur le protocole CEP, pour Credential Exchange Protocol. Son rôle est d’organiser l’échange d’identifiants entre gestionnaires de mots de passe. Dans une lecture cyber, ce protocole sert de canal de confiance entre services concurrents. Il doit permettre de déplacer des données très sensibles sans les banaliser. La portabilité ne peut pas devenir une fuite déguisée. Elle doit être volontaire, traçable et limitée aux applications qui savent dialoguer correctement.
Le soutien de Google, Apple et Samsung donne au CEP une portée importante. Ces acteurs couvrent une grande partie des terminaux et des environnements utilisés au quotidien. Leur alignement peut transformer la migration des clés d’accès en fonction standard, au lieu d’un bricolage réservé aux utilisateurs avancés. Cela change aussi l’équilibre stratégique. Un gestionnaire de mots de passe ne garde plus ses utilisateurs uniquement parce que les sorties sont difficiles. Il doit convaincre par sa fiabilité, son ergonomie et son intégration.
Le lancement pourrait toutefois rester partiel. Le texte indique que la fonction ne sera peut-être pas disponible pour toutes les applications dès le départ. Cette réserve est essentielle. La compatibilité dépendra des gestionnaires de mots de passe, de leur prise en charge du protocole et de la manière dont Android exposera l’interface. Pour l’utilisateur, l’expérience variera donc selon l’application choisie. Pour les éditeurs, l’enjeu sera de suivre rapidement le mouvement afin de ne pas apparaître comme un point de blocage.
