Google prévoit de remplacer l’envoi de codes SMS pour l’authentification à deux facteurs de Gmail par des méthodes plus sécurisées, telles que des codes QR et des clés d’accès. Cette décision vise à réduire les risques de fraude liés aux SMS, souvent exploités par des escrocs. D’autres entreprises, comme Apple et Microsoft, ont déjà adopté des approches similaires. Des experts soutiennent que cette évolution est cruciale pour renforcer la sécurité en ligne et protéger les utilisateurs contre des menaces potentielles.
Un changement majeur se profile à l’horizon concernant la sécurité de votre compte Gmail et la gestion de l’authentification à deux facteurs. Google a annoncé son intention de mettre fin à l’envoi de codes 2FA par SMS pour les comptes Gmail, en faveur d’outils de sécurité plus avancés comme les clés d’accès et les codes QR à scanner avec vos appareils.
Selon Google, l’utilisation des SMS pour la 2FA est devenue de plus en plus problématique, car des escrocs exploitent cette méthode pour usurper les comptes des utilisateurs. Les déclarations de Ross Richendrfer, responsable de la sécurité et de la confidentialité chez Google, confirment cette tendance inquiétante. Il a mentionné que l’entreprise allait ‘réinventer’ la manière dont elle vérifie les numéros de téléphone, remplaçant les codes à six chiffres envoyés par SMS par des codes QR que les utilisateurs peuvent valider.
Richendrfer a exprimé : ‘Tout comme nous souhaitons dépasser les mots de passe grâce aux clés d’accès, nous voulons également abandonner les messages SMS pour l’authentification.’ Ce changement vise à réduire le risque que les utilisateurs partagent leurs codes SMS avec des escrocs et à supprimer les opérateurs téléphoniques comme points de vulnérabilité. Certains fraudeurs, selon Google, utilisent les SMS pour des escroqueries connues sous le nom de ‘traffic pumping’, leur permettant de gagner de l’argent grâce à ces messages.
En adoptant les codes QR, Google espère diminuer les risques de phishing, réduire l’abus des SMS à l’échelle mondiale et rendre les utilisateurs moins dépendants de leurs opérateurs téléphoniques. Richendrfer a ajouté : ‘Les codes SMS représentent un risque accru pour les utilisateurs – nous sommes ravis de proposer une approche innovante pour diminuer la surface d’attaque et protéger nos utilisateurs contre les menaces malveillantes.’
Gmail exploite également d’autres méthodes d’authentification à deux facteurs, telles que la redirection des utilisateurs vers l’application Gmail pour valider leur connexion, ainsi que l’utilisation de son propre logiciel de sécurité, Google Authenticator.
Une étape essentielle pour la sécurité en ligne
Google n’est pas seule dans son mouvement de retrait des SMS pour la 2FA. Des entreprises comme Evernote ont déjà abandonné les SMS, et l’application de messagerie sécurisée Signal a suivi en 2022. D’autres géants tels qu’Apple et Microsoft ont également migré leurs utilisateurs vers des méthodes plus sécurisées. Google a commencé à signaler cette transition loin des SMS dès 2017.
Les experts estiment que ce changement n’est pas surprenant et qu’il est probablement nécessaire pour Google. Amy Bunn, une défenseure de la sécurité en ligne chez McAfee, a déclaré : ‘Le fait que Google s’éloigne des connexions basées sur SMS est une décision judicieuse pour la sécurité – même si cela peut sembler contraignant au départ, c’est une avancée vers une protection renforcée.’
Bunn a ajouté que les cybercriminels peuvent détourner des numéros de téléphone par échange de SIM, intercepter des codes de sécurité ou même verrouiller des utilisateurs hors de leurs comptes. C’est pourquoi de nombreuses entreprises, y compris Google, se tournent vers des méthodes de connexion plus sécurisées comme les clés d’accès et les applications d’authentification.
Rob Allen, directeur produit chez ThreatLocker, a souligné que les SMS pour l’authentification à deux facteurs sont probablement la méthode 2FA la moins sécurisée. Bien que cela soit mieux que rien, il existe des alternatives plus sûres. Allen a également précisé que l’utilisation d’une application d’authentification sur un téléphone mobile constitue une option bien plus sécurisée. ‘C’est encourageant de voir les entreprises s’orienter vers un environnement plus sécurisé,’ a-t-il conclu.