Qu’est-ce qu’Android Identity Check ?
Depuis Android 15, Google a introduit « Identity Check », un mécanisme de sécurité avancé conçu pour protéger l’accès aux paramètres sensibles et aux mots de passe enregistrés. Concrètement, si quelqu’un parvient à obtenir votre code PIN – que ce soit en vous observant le taper ou en vous le soutirant – le système détecte cette compromission et déclenche un contrôle d’identité renforcé. Jusqu’à présent, l’unique recours consistait à fournir une preuve biométrique (empreinte digitale ou reconnaissance faciale) après avoir saisi le code PIN.
Le rôle inédit du smartwatch comme élément de confiance
Une récente analyse de la version bêta 25.31.30 des Google Play Services a levé le voile sur une nouvelle étape : Identity Check pourra reconnaître votre montre connectée comme un « trusted device ». Voici le libellé découvert dans le code :
- « Outside of trusted places like your home • If you have a connected watch, you can use either biometrics or your PIN • If you don’t have a connected watch, you’ll be required to use Fingerprint or Face Unlock ».
Autrement dit, en déplacement ou dans des lieux publics non identifiés comme « sûrs », la simple présence d’un smartwatch associé à votre compte vous exemptera de fournir à la fois le PIN et la biométrie : vous n’aurez qu’à en produire l’un des deux. La montre devient un troisième facteur d’authentification, au même titre que votre code ou vos données biométriques.
Comment ça fonctionne au quotidien ?
Imaginons que vous souhaitiez accéder à vos mots de passe stockés dans les réglages de votre smartphone en pleine rue : jusque-là, il fallait entrer votre PIN puis valider avec votre empreinte. Avec l’intégration du smartwatch, voici les nouvelles étapes :
- Vous ouvrez la section protégée (par exemple « Mots de passe enregistrés »).
- Le système détecte si votre montre est bien connectée et approuvée.
- Si oui, vous n’avez qu’à entrer votre PIN ou poser un doigt sur le lecteur ; l’un OU l’autre suffit.
- En l’absence de smartwatch, l’ancien mode s’applique : empreinte OU reconnaissance faciale.
Ce mode hybride allège la procédure, tout en maintenant un niveau de sécurité équivalent grâce à la présence du dispositif externe porté au poignet.
Quels sont les bénéfices de cette approche ?
- Fluidité renforcée : moins d’étapes pour débloquer les contenus sensibles, idéal en mobilité ou en contexte urgent.
- Trois facteurs au choix : PIN, biométrie et smartwatch, dont vous en choisissez deux parmi trois pour un double contrôle.
- Confiance accrue : la montre connectée, difficilement contrefaite, apporte une barrière supplémentaire.
- Adaptabilité contextuelle : les lieux sûrs (domicile, bureau) restent en dehors de ces contrôles, évitant ainsi les réauthentifications incessantes.
Identity Check V2 : vers une sécurité appliquée aux apps tierces
En fouillant un peu plus le code, les développeurs ont découvert un extrait prometteur pour l’avenir :
- « Identity Check works with any app that uses biometrics. Note: Over time, Identity Check may add more ways to verify it’s you and secure apps on your device. »
Cette mention laisse entendre que Google envisage d’étendre Identity Check au sein des applications tierces. Banques, gestionnaires de mots de passe, messageries chiffrées ou autres outils sensibles pourraient bientôt exploiter le même système de validation contextualisée, tirant profit du PIN, de la biométrie et de la présence d’un smartwatch approuvé.
Qu’est-ce que cela change pour la protection des données ?
Actuellement, chaque application intègre son propre mécanisme biométrique, souvent limité à la simple empreinte ou reconnaissance faciale. Avec Identity Check V2, l’utilisateur bénéficierait :
- d’une authentification centralisée et cohérente,
- d’une configuration unique à gérer dans les paramètres système,
- d’une expérience plus homogène et plus rapide,
- d’une protection contextuelle transparente, sans sacrifier la sécurité.
Les développeurs d’apps tierces devront alors se plier à ces nouvelles API pour offrir à leurs clients une vérification d’identité plus robuste et moins fragmentée.
Quels enjeux pour les fabricants de montres connectées ?
L’intégration de la montre comme facteur de confiance place une exigence technique et sécuritaire pour les constructeurs. La montre doit :
- établir une connexion chiffrée permanente avec le smartphone,
- être correctement associée au compte Google de l’utilisateur,
- disposer d’un firmware fiable pour éviter tout contournement.
Les marques (Google avec sa Pixel Watch, Samsung, Fossil, etc.) devront veiller à actualiser leurs firmwares pour répondre aux futurs critères d’Identity Check et garantir une compatibilité sans faille.
Les limites et questions encore en suspens
Pour l’heure, on ignore :
- quand cette fonctionnalité verra le jour dans la version stable d’Android,
- si tous les modèles de montres compatibles seront supportés ou seulement certains,
- comment seront gérés les cas de perte ou de vol de la montre – un processus de réinitialisation devra être prévu,
- si Google réserve cette avancée aux versions supérieures (Android 16 ?) ou si un rétroportage est envisageable.
En attendant des annonces officielles, ces éléments de code offrent déjà un aperçu enthousiasmant d’une sécurité mobile plus fluide, plus intelligente et surtout plus personnalisée.