
L'une des plus implémentées parmi les méthodes 2FA, l'authentification par SMS, est par exemple facile à casser dès lors qu'un pirate a obtenu le nom utilisateur et le mot de passe de sa victime. Pour valider une connexion à un compte ayant activé l'authentification à deux facteurs par SMS, l'utilisateur doit fournir un code envoyé sur son portable par le service en ligne auquel il veut se connecter. En principe, il faut donc avoir le téléphone pour pouvoir faire la validation, mais des chercheurs ont montré que des failles dans le protocole SS7 (système de signalisation n° 7) peuvent être exploitées pour pirater un compte protégé par une 2FA par SMS.
Les faiblesses de l’authentification à deux facteurs par SMS sont d’ailleurs connues, raison pour laquelle Google a décidé de la reléguer au second rang comme méthode 2FA. Au début de cette année, le géant de l'Internet a amélioré l'invite Google (Google prompt) pour la validation en deux étapes, afin d'offrir aux utilisateurs une meilleure option pour sécuriser leurs comptes. « En plus d'offrir une 2FA via une connexion chiffrée, l'invite Google permet également aux utilisateurs de bloquer un accès non autorisé à leur compte avec des informations de sécurité en temps réel sur la tentative de connexion », avait déclaré la firme de Mountain View. Avant d’expliquer que « cela est fait parce que les vérifications de messages texte SMS et les codes uniques sont plus sujets aux tentatives de phishing par les attaquants. »

Invite Google
Google considère son invite comme une méthode plus simple et plus sécurisée pour authentifier un compte. En juillet, la firme a donc commencé à proposer à ses utilisateurs d'essayer l’invite Google comme méthode de validation en deux étapes au lieu des SMS. Maintenant, Google a décidé de faire en sorte que l’invite d’authentification soit le premier choix des utilisateurs qui activent la 2FA en lieu et place de la méthode par SMS.
« Une fois que la 2FA est activée, les utilisateurs auront toujours la possibilité de choisir les SMS, l'application Google Authenticator, les codes de secours ou les clés de sécurité comme deuxième étape alternative », précise Google. Et d’ajouter que « cela n'affectera que les utilisateurs qui n'ont pas encore activé la 2FA. Les paramètres actuels des utilisateurs de l’authentification à deux facteurs ne seront pas affectés. En outre, si un utilisateur tente de configurer une 2FA, mais ne dispose pas d'un appareil mobile compatible, il sera invité à utiliser les SMS comme méthode d'authentification. »

Pour les utilisateurs de G Suite Enterprise, Google recommande de choisir les clés de sécurité comme méthode d’authentification pour répondre à des exigences de sécurité plus avancées.
Source : Google
Et vous ?

Voir aussi :


