Google explique que, pour le début, Advanced Protection va se focaliser sur trois aspects, notamment :
- une meilleure protection contre le phishing : Advanced Protection nécessite l'utilisation de clés de sécurité pour se connecter à votre compte. Les clés de sécurité sont de petits périphériques USB ou sans-fil et ont longtemps été considérées comme la version la plus sécurisée de la vérification en deux étapes et la meilleure protection contre le phishing. Elles utilisent la cryptographie d’une clé publique et les signatures numériques pour prouver à Google qu’il s’agit vraiment de vous. Un attaquant qui n'a pas votre clé de sécurité est automatiquement bloqué, même s'il a votre mot de passe ;
- protéger vos données les plus sensibles contre le partage accidentel : parfois, des personnes accordent par inadvertance à des applications malveillantes l'accès à leurs données Google. La protection avancée empêche cela en limitant automatiquement l'accès complet à votre compte Gmail et lecteur à des applications spécifiques. Pour l'instant, il ne s'agira que d'applications Google, mais Google prévoit de les étendre à l'avenir ;
- blocage de l'accès frauduleux au compte : il arrive que les pirates tentent d'accéder à votre compte en usurpant votre identité et en prétendant qu'ils ont été bloqués. Pour les utilisateurs d’Advanced Protection, des étapes supplémentaires seront mises en place pour éviter cela pendant le processus de récupération du compte, y compris des examens supplémentaires et des demandes pour plus de détails sur les raisons pour lesquelles vous avez perdu l'accès à votre compte.
Le principal avantage en termes de sécurité réside dans la nécessité d’avoir une clé ou un token pour se connecter comme second facteur d'authentification, au lieu d'avoir un code envoyé via SMS ou via l'application. Une meilleure option dans la mesure où elle ne donne pas d’opportunité aux pirates de voler ou d’intercepter cette clé à distance (il y a eu des incidents isolés où des pirates se sont servis de l'ingénierie sociale pour accéder au numéro de téléphone de quelqu'un en demandant au fournisseur d'émettre une nouvelle carte SIM, par exemple).
« C'est un grand pas dans la bonne direction que d’offrir le même type de protection aux personnes lambdas », a déclaré Kenneth White, consultant en sécurité basé à Washington DC auprès des agences fédérales. « Ils ont vraiment réfléchi à tout cela, et même si cela n'a pas de sens pour tout le monde, pour ceux qui en ont besoin, c'est une option indispensable. »
Source : Google