Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Authentification à deux facteurs : Google abandonne la validation par SMS comme méthode par défaut
Et déploie une invite de validation plus sécurisée

Le , par Michael Guilloux

43PARTAGES

7  0 
L’authentification à deux facteurs (2FA) a pour but de dresser un second rideau de protection contre les attaquants et renforcer la sécurité des comptes en ligne des utilisateurs. Elle est donc aujourd'hui très répandue, mais comme tout système, elle ne garantit pas une sécurité absolue aux utilisateurs.

L'une des plus implémentées parmi les méthodes 2FA, l'authentification par SMS, est par exemple facile à casser dès lors qu'un pirate a obtenu le nom utilisateur et le mot de passe de sa victime. Pour valider une connexion à un compte ayant activé l'authentification à deux facteurs par SMS, l'utilisateur doit fournir un code envoyé sur son portable par le service en ligne auquel il veut se connecter. En principe, il faut donc avoir le téléphone pour pouvoir faire la validation, mais des chercheurs ont montré que des failles dans le protocole SS7 (système de signalisation n° 7) peuvent être exploitées pour pirater un compte protégé par une 2FA par SMS.

Les faiblesses de l’authentification à deux facteurs par SMS sont d’ailleurs connues, raison pour laquelle Google a décidé de la reléguer au second rang comme méthode 2FA. Au début de cette année, le géant de l'Internet a amélioré l'invite Google (Google prompt) pour la validation en deux étapes, afin d'offrir aux utilisateurs une meilleure option pour sécuriser leurs comptes. « En plus d'offrir une 2FA via une connexion chiffrée, l'invite Google permet également aux utilisateurs de bloquer un accès non autorisé à leur compte avec des informations de sécurité en temps réel sur la tentative de connexion », avait déclaré la firme de Mountain View. Avant d’expliquer que « cela est fait parce que les vérifications de messages texte SMS et les codes uniques sont plus sujets aux tentatives de phishing par les attaquants. »


Invite Google

Google considère son invite comme une méthode plus simple et plus sécurisée pour authentifier un compte. En juillet, la firme a donc commencé à proposer à ses utilisateurs d'essayer l’invite Google comme méthode de validation en deux étapes au lieu des SMS. Maintenant, Google a décidé de faire en sorte que l’invite d’authentification soit le premier choix des utilisateurs qui activent la 2FA en lieu et place de la méthode par SMS.

« Une fois que la 2FA est activée, les utilisateurs auront toujours la possibilité de choisir les SMS, l'application Google Authenticator, les codes de secours ou les clés de sécurité comme deuxième étape alternative », précise Google. Et d’ajouter que « cela n'affectera que les utilisateurs qui n'ont pas encore activé la 2FA. Les paramètres actuels des utilisateurs de l’authentification à deux facteurs ne seront pas affectés. En outre, si un utilisateur tente de configurer une 2FA, mais ne dispose pas d'un appareil mobile compatible, il sera invité à utiliser les SMS comme méthode d'authentification. »


Pour les utilisateurs de G Suite Enterprise, Google recommande de choisir les clés de sécurité comme méthode d’authentification pour répondre à des exigences de sécurité plus avancées.

Source : Google

Et vous ?

Qu’en pensez-vous ?

Voir aussi :

L'authentification à deux facteurs par SMS : une passoire à cause des failles du protocole de signalisation réseau SS7
Google va remplacer la vérification en deux étapes par une paire de clés physiques pour renforcer la sécurité de ses services
Malgré l'authentification à deux facteurs, il se fait voler de l'argent sur son compte Uber, qui ne le rembourse pas en intégralité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Tagashy
Membre averti https://www.developpez.com
Le 23/10/2017 à 20:16
La technologie est intéressante MAIS c'est Google qui la propose et j'ai peur qu'il s'accapare de l'intégralité des 2FA et la devoir utiliser Google a chaque fois qu'on veut s'authentifier... Lorsqu'on utilise pas Google comme moteur de recherche a cause des soucis de vie privée ...
0  0 
Avatar de weed
Membre éprouvé https://www.developpez.com
Le 23/10/2017 à 23:19
Il faut se rendre à l'évidence que Google est l'entreprise qui est le plus à la pointe en terme de sécurité
MAIS en effet Google est l'une des entreprises qui pompe le maximum d'information sur nous pour son business en recoupant ses différents services.

J'ai un téléphone Android mais je ne me suis pas connecté à Google Play. J'utilise des stores alternatifs pour justement ne pas être tracé en permanence avec leur API GPS qui tourne en permanence si on utilise Play Store.
Je ne vais donc pas installer leur logiciel qui sera une excuse de plus pour nous tracer. Je vais en rester aux sms qui est déjà pas mal.
0  0