Pousser les utilisateurs vers la sécurité fonctionne.
C’est la principale conclusion quatre mois après le début de l’initiative de Google visant à inscrire les utilisateurs à l’authentification à deux facteurs par défaut, détaillée dans un article de blog pour coïncider avec le Safer Internet Day du 8 février.
En octobre 2021, la société a annoncé son intention d’activer l’authentification à deux facteurs par défaut pour 150 millions d’utilisateurs de Google qui n’utilisaient pas actuellement le service et d’exiger que 2 millions de créateurs YouTube l’utilisent. Dans le dernier article, Google le dit observé une baisse de 50 % dans les comptes compromis parmi ce groupe d’utilisateurs test.
La stratégie montre la puissance d’un géant de la technologie comme Google pour fournir la sécurité par défaut et s’inscrit dans un projet de plusieurs années visant à faire évoluer les utilisateurs vers un modèle de sécurité plus robuste – visant éventuellement à un avenir sans mot de passeselon un autre article de blog publié par la société l’année dernière.
L’authentification à deux facteurs, ou « vérification en deux étapes » (2SV) comme l’appelle Google, est un pilier central de cette stratégie, car la sécurité du compte est considérablement augmentée par l’exigence d’un élément physique comme une clé de sécurité ou un téléphone pour recevoir codes via l’application ou SMS. Mais historiquement, le problème a été celui de l’adoption.
En 2018, un ingénieur de Google a révélé que plus de 90 % des comptes Gmail actifs n’utilisaient pas l’authentification à deux facteurs, ce qui a amené à se demander pourquoi Google ne rendrait pas obligatoire le processus d’authentification en deux étapes. Depuis lors, l’entreprise s’est engagée à faire de la 2SV une option par défaut pour un plus grand nombre d’utilisateurs et une étape obligatoire pour certains.
Selon les représentants de Google, l’un des obstacles restants est le manque de compréhension de tous les avantages des procédures d’authentification supplémentaires.
« Il y a beaucoup d’éducation à faire avec 2SV et nous voulons que les utilisateurs comprennent ce que c’est et pourquoi c’est bénéfique », a déclaré Guemmy Kim, directeur de la sécurité et de la sûreté des comptes chez Google.
« Nous devons également nous assurer que les comptes des utilisateurs sont correctement configurés avec une adresse e-mail et un numéro de téléphone de récupération afin qu’ils puissent éviter les verrouillages de compte une fois la 2SV appliquée. Nous avons déjà inscrit des utilisateurs que nous considérons comme des utilisateurs précoces et dont les comptes étaient prêts pour la 2SV », a déclaré Kim.
Bien que le nombre de services Web prenant en charge l’authentification à deux facteurs ait augmenté régulièrement, l’adoption par les consommateurs reste encore faible. Twitter, qui a déployé l’authentification à deux facteurs en 2013, a révélé en 2020 que seulement 2,3 % des comptes actifs l’avaient activé; sur Facebook, le chiffre était environ 4 pour cent adopter en 2021.
Là où l’adoption existe, l’option 2FA la plus courante consiste à envoyer des codes à usage unique par SMS – ce que les experts en sécurité considèrent comme le méthode la plus vulnérable à l’interception. Idéalement, l’authentification à deux facteurs devrait utiliser une application d’authentification, comme Google Authenticator ou Authy, ou un appareil physique comme une clé de sécurité matérielle.