Logiquement, l’authentification à deux facteurs (2FA) et la vérification en deux étapes (2SV) – la différence est subtile mais significative, et les implémentations de Google comptent pour les deux – devraient rendre les comptes moins faciles à cibler pour les pirates, mais c’est une théorie difficile à comprendre. prouver dans la pratique.
Google a maintenant des preuves assez solides pour étayer ce qu’il a – et nous avons – toujours insisté : 2FA fonctionne et est quelque chose auquel tout le monde devrait s’inscrire, même si cela ajoute un peu de friction aux connexions de compte.
Dans un article de blog publié hier (8 février) par Guemmy Kim, directeur de la sécurité et de la sûreté des comptes chez Google, la société a révélé le résultat stupéfiant de l’inscription automatique des comptes dans son programme 2FA/2SV : une diminution de 50 % des prises de contrôle de compte.
Comment fonctionne Google 2FA
Une fois que vous vous êtes connecté à votre compte Google avec le mot de passe correct sur un nouvel appareil, Google vous propose plusieurs façons de sauvegarder ce mot de passe :
- en entrant un code temporaire envoyé par SMS à votre téléphone (la forme la plus simple mais la moins sécurisée de 2FA)
- en entrant un code temporaire généré par l’application Google Authenticator (ou des applications compatibles)
- en appuyant sur OK sur une notification push envoyée par internet sur votre smartphone
- en insérant une clé de sécurité physique dans le port USB d’un PC ou d’un téléphone
- en appuyant sur un bouton d’une clé de sécurité physique basée sur Bluetooth (qui peut être un smartphone) à proximité d’un ordinateur compatible Bluetooth
- en tapant une clé de sécurité physique basée sur NFC contre un téléphone compatible
Tous ces facteurs sont considérés comme des « deuxièmes facteurs » dans l’authentification à deux facteurs. Nous avons des guides sur la façon de configurer le 2FA de Google sur votre téléphone et sur la façon de configurer le 2FA de Google sur votre ordinateur.
Double la sécurité, la moitié du mal
Après que 150 millions de titulaires de compte Google (sélectionnés parce que leurs smartphones pouvaient recevoir des notifications push) et 2 millions de créateurs YouTube ont été contraints d’utiliser 2FA/2SV à partir du milieu de 2021, Kim a déclaré que l’entreprise avait vu une réduction de 50 % des comptes Google compromis entre les utilisateurs qui avaient activé 2FA/2SV.
« Cette diminution en dit long sur l’efficacité d’une deuxième forme de vérification pour protéger vos données et vos informations personnelles », a écrit Kim.
Elle a ensuite expliqué comment Google essayait de faire en sorte qu' »une sécurité accrue ne signifie pas nécessairement moins de confort ».
La technologie mise au point par les clés de sécurité USB, par exemple, est désormais prise en charge par « presque tous les appareils mobiles du monde » grâce à son intégration à Android et à sa disponibilité sur iOS avec l’application Google Smart Lock.
En d’autres termes, votre téléphone peut agir comme une clé de sécurité physique basée sur Bluetooth lors de la connexion à votre compte Google ou Gmail sur un PC ou un Mac, ou même un autre smartphone.
« Activez 2SV (ou nous le ferons !), car cela fait toute la différence si votre mot de passe est compromis », a exhorté Kim, tout en encourageant les gens à effectuer un contrôle de sécurité Google et à s’inscrire à Google Password Manager.
(Nous ne sommes pas d’accord sur les mérites de Google Password Manager, car cela dépend des navigateurs de bureau Chrome qui peuvent souvent être piratés par des logiciels malveillants courants.)
Attention à la différence d’âge
La plupart des gens conviendraient que l’implémentation de notification push de Google de 2FA est d’une élégance impressionnante et dépasse certainement le fait d’avoir à taper un code à partir d’un message SMS (quelque chose qui est également vulnérable aux attaques d’échange de carte SIM et de portage de numéro). Mais même une mise en œuvre douce de l’authentification à deux facteurs peut être rebutante pour ceux qui sont moins à l’aise avec la technologie.
Pour utiliser un exemple personnel : lorsque mes parents ont subi des fuites de mots de passe (comme tout le monde le fera inévitablement – vérifiez haveibeenpwned.com pour voir si votre mot de passe a été divulgué), j’ai rapidement réalisé que l’évangélisation du pouvoir des gestionnaires de mots de passe était une perte de temps.
Au lieu de cela, j’ai suggéré un système dans lequel les mots de passe pourraient être familiers mais complexes, en utilisant une tournure facilement mémorisable basée sur le compte auquel un mot de passe était connecté.
Bien sûr, ce n’est pas aussi sûr qu’un mot de passe généré aléatoirement, mais cela rend les mots de passe moins vulnérables aux attaques par force brute. Cela rend également chaque mot de passe unique, ce qui signifie qu’une fuite de mot de passe n’entraînera pas l’exposition de tous les comptes de mes parents aux pires éléments d’Internet.
Ce n’est pas la tactique que je recommanderais aux cibles de piratage très rémunératrices telles que les célébrités, les stars du sport ou les politiciens, mais pour la majorité des internautes discrets, c’est mieux que rien. En matière de sécurité sur Internet, être parfois une cible moins facile que le suivant est assez bon.
Mais si la version plus simple de Google sur 2FA peut amener suffisamment de personnes à un niveau plus élevé, alors, espérons-le, beaucoup moins de personnes verront leurs journées (ou même leurs vies) ruinées par des pirates et des escrocs. Et c’est quelque chose à célébrer.