Google permet aux utilisateurs de verrouiller plus facilement leurs comptes grâce à une authentification multifacteur renforcée en ajoutant la possibilité de stocker des clés cryptographiques sécurisées sous la forme de clés d’accès plutôt que sur des dispositifs à jetons physiques.
Le programme de protection avancée de Google, lancé en 2017, nécessite la forme la plus puissante d’authentification multifacteur (MFA). Alors que de nombreuses formes d’authentification multifacteur reposent sur des codes d’accès à usage unique envoyés par SMS ou par e-mail ou générés par des applications d’authentification, les comptes inscrits à la protection avancée nécessitent une authentification multifacteur basée sur des clés cryptographiques stockées sur un appareil physique sécurisé. Contrairement aux codes d’accès à usage unique, les clés de sécurité stockées sur des appareils physiques sont immunisées contre le phishing des informations d’identification et ne peuvent pas être copiées ou espionnées.
Démocratiser l’APP
APP, abréviation de Advanced Protection Program, exige que la clé soit accompagnée d’un mot de passe chaque fois qu’un utilisateur se connecte à un compte sur un nouvel appareil. Cette protection empêche les types de piratage de compte qui ont permis aux pirates soutenus par le Kremlin d’accéder aux comptes Gmail des responsables démocrates en 2016 et de divulguer des e-mails volés pour interférer avec l’élection présidentielle de cette année-là.
Jusqu’à présent, Google exigeait que les utilisateurs disposent de deux clés de sécurité physiques pour s’inscrire à APP. Désormais, l’entreprise permet aux utilisateurs d’utiliser deux clés d’accès ou une clé d’accès et un jeton physique. Ceux qui recherchent une sécurité supplémentaire peuvent s’inscrire en utilisant autant de clés qu’ils le souhaitent.
« Nous élargissons l’ouverture pour que les gens aient plus de choix dans la manière dont ils s’inscrivent à ce programme », a déclaré à Ars Shuvo Chatterjee, responsable du projet APP. Il a déclaré que cette décision fait suite aux commentaires reçus par Google de la part de certains utilisateurs qui n’avaient pas les moyens d’acheter les clés physiques ou qui vivaient ou travaillaient dans des régions où elles n’étaient pas disponibles.
Comme toujours, les utilisateurs doivent toujours disposer de deux clés pour s’inscrire afin d’éviter d’être exclus de leur compte si l’une d’elles est perdue ou cassée. Bien que les blocages soient toujours un problème, ils peuvent être bien pires pour les utilisateurs de l’APP, car le processus de récupération est beaucoup plus rigoureux et prend beaucoup plus de temps que pour les comptes non inscrits au programme.
Les clés d’accès sont une création de la FIDO Alliance, un groupe intersectoriel composé de centaines d’entreprises. Elles sont stockées localement sur un appareil et peuvent également être stockées dans le même type de jeton matériel stockant les clés MFA. Les clés d’accès ne peuvent pas être extraites de l’appareil et nécessitent soit un code PIN, soit une empreinte digitale ou un visage. Elles fournissent deux facteurs d’authentification : quelque chose que l’utilisateur connaît (le mot de passe sous-jacent utilisé lors de la première génération de la clé d’accès) et quelque chose que l’utilisateur possède (sous la forme de l’appareil qui stocke la clé d’accès).
Bien entendu, l’assouplissement des exigences ne va pas très loin, car les utilisateurs doivent toujours posséder deux appareils. Mais en élargissant les types d’appareils nécessaires, APP devient plus accessible puisque de nombreuses personnes possèdent déjà un téléphone et un ordinateur, a déclaré Chatterjee.
« Si vous êtes dans un endroit où vous ne pouvez pas obtenir de clés de sécurité, c’est plus pratique », a-t-il expliqué. « C’est un pas vers la démocratisation du niveau d’accès [users] accéder au niveau de sécurité le plus élevé proposé par Google. »
Malgré la surveillance accrue impliquée dans le processus de récupération des comptes APP, Google renouvelle sa recommandation aux utilisateurs de fournir un numéro de téléphone et une adresse e-mail en guise de sauvegarde.
« La meilleure façon de protéger votre compte est d’avoir plusieurs éléments dans un fichier. Ainsi, si vous perdez cette clé de sécurité ou si elle explose, vous avez un moyen de revenir à votre compte », a déclaré Chatterjee. Il ne fournit pas les détails « secrets » du fonctionnement du processus, mais il a déclaré qu’il implique « des tonnes de signaux que nous examinons pour comprendre ce qui se passe réellement ».
« Même si vous possédez un téléphone de récupération, celui-ci ne vous permettra pas à lui seul d’accéder à votre compte », a-t-il déclaré. « Par conséquent, si vous avez subi un échange de carte SIM, cela ne signifie pas que quelqu’un aura accès à votre compte. C’est une combinaison de divers facteurs. C’est la somme de ces facteurs qui vous aidera sur le chemin de la récupération. »
Les utilisateurs de Google peuvent s’inscrire à l’APP en visitant ce lien.