Moins de 10 % des utilisateurs de Google activent l'authentification à deux facteurs
Malgré les efforts de l'entreprise
Le 2018-01-19 15:09:04, par Michael Guilloux, Chroniqueur Actualités
En 2011, Google a introduit l'authentification à deux facteurs (2FA) pour les comptes Gmail et ses autres services en ligne gratuits. Le but était de dresser un second rideau de protection contre les attaquants et renforcer la sécurité des comptes en ligne des utilisateurs. Comme d'autres sociétés technologiques, cependant, Google n'a pas fait de l'authentification à deux facteurs une fonctionnalité par défaut pour éviter d'introduire des contraintes qui pourraient par exemple chasser les utilisateurs. Comme résultat, sept ans après, pratiquement personne n'utilise l'authentification à deux facteurs, d'après Grzegorz Milka, un ingénieur de Google. Pendant une présentation à la conférence de sécurité Enigma 2018 en Californie, Grzegorz Milka a en effet révélé qu'aujourd'hui que moins de 10 % des comptes Google actifs utilisent la méthode 2FA pour verrouiller leurs services.
Pour Google, l'authentification à deux facteurs reste pourtant un outil de sécurité extrêmement efficace face aux violations de comptes qui sont de plus en plus fréquentes. La firme de Mountain View dit en effet avoir obtenu, en 2016, plus de 4000 copies de données issues de violations de sécurité, avec un total de 3,3 milliards d'informations d'identification volées. Ces données volées incluaient également 67 millions de mots de passe Google valides. Ces chiffres, d'après Grzegorz Milka, devraient alerter sur la nécessité d'utiliser une méthode de « défense en profondeur » qui peut fonctionner même lorsque des mots de passe sont volés. À propos, une étude menée sur un an par Google, et publiée en novembre dernier, a montré qu'environ 250 000 informations de connexion sont volées par les pirates chaque semaine. Il faut aussi noter que l'étude s'est concentrée uniquement sur les comptes Google.
Pour la grande majorité des utilisateurs qui n'ont pas encore activé l'authentification à deux facteurs, Google dit toutefois ajouter ses propres niveaux de sécurité pour empêcher la prise de contrôle de leurs comptes par les pirates. Il s'agit notamment de déterminer à quel point est suspecte une connexion, en se basant sur différents éléments comme le lieu, l'appareil et l'heure de la connexion, entre autres. Google peut également suspecter une connexion en fonction de sa similarité avec des patterns connus utilisés par les pirates. Ses signaux changent aussi régulièrement.
Lors de la conférence de sécurité, Grzegorz Milka de Google a également décrit les efforts de l'entreprise pour faire de l'authentification à deux facteurs un outil de sécurité extrêmement efficace face aux violations de comptes. À ce sujet, rappelons qu'à la fin de l'année dernière, Google a mis à jour ses outils d'authentification à deux facteurs. Pour les utilisateurs de G Suite Enterprise, Google recommande de choisir des clés de sécurité physiques comme méthode d'authentification d'un compte pour répondre à des exigences de sécurité plus avancées. Google a aussi abandonné la validation par SMS comme méthode par défaut, au profit d'une invite comme une méthode plus simple et plus sécurisée pour authentifier un compte.
Source : Cyber Scoop
Et vous ?
Pour Google, l'authentification à deux facteurs reste pourtant un outil de sécurité extrêmement efficace face aux violations de comptes qui sont de plus en plus fréquentes. La firme de Mountain View dit en effet avoir obtenu, en 2016, plus de 4000 copies de données issues de violations de sécurité, avec un total de 3,3 milliards d'informations d'identification volées. Ces données volées incluaient également 67 millions de mots de passe Google valides. Ces chiffres, d'après Grzegorz Milka, devraient alerter sur la nécessité d'utiliser une méthode de « défense en profondeur » qui peut fonctionner même lorsque des mots de passe sont volés. À propos, une étude menée sur un an par Google, et publiée en novembre dernier, a montré qu'environ 250 000 informations de connexion sont volées par les pirates chaque semaine. Il faut aussi noter que l'étude s'est concentrée uniquement sur les comptes Google.
Pour la grande majorité des utilisateurs qui n'ont pas encore activé l'authentification à deux facteurs, Google dit toutefois ajouter ses propres niveaux de sécurité pour empêcher la prise de contrôle de leurs comptes par les pirates. Il s'agit notamment de déterminer à quel point est suspecte une connexion, en se basant sur différents éléments comme le lieu, l'appareil et l'heure de la connexion, entre autres. Google peut également suspecter une connexion en fonction de sa similarité avec des patterns connus utilisés par les pirates. Ses signaux changent aussi régulièrement.
Lors de la conférence de sécurité, Grzegorz Milka de Google a également décrit les efforts de l'entreprise pour faire de l'authentification à deux facteurs un outil de sécurité extrêmement efficace face aux violations de comptes. À ce sujet, rappelons qu'à la fin de l'année dernière, Google a mis à jour ses outils d'authentification à deux facteurs. Pour les utilisateurs de G Suite Enterprise, Google recommande de choisir des clés de sécurité physiques comme méthode d'authentification d'un compte pour répondre à des exigences de sécurité plus avancées. Google a aussi abandonné la validation par SMS comme méthode par défaut, au profit d'une invite comme une méthode plus simple et plus sécurisée pour authentifier un compte.
Source : Cyber Scoop
Et vous ?
-
Anselme45Membre extrêmement actifPeut-être bien que les 90% qui n'utilisent pas l'authentification à deux facteurs considèrent qu'ils sont suffisamment "espionnés" par les GAFA et qu'ils n'ont pas l'envie d'en dire plus sur leur vraie identité dans la vraie vie?
Les théories "On vous espionne jusque dans votre slip... Mais c'est pour votre bien!" n'arrivent peut-être plus à convaincre...le 19/01/2018 à 16:15 -
transgohanExpert éminentIl me lance un rappel à peut près tous les 2-3 mois, je l'ignore systématiquement.
Il est hors de question que je leur donne mon numéro de téléphone...
Je ne le fais déjà pas pour de nombreux sites, alors ce n'est certainement pas pour le donner à une entreprise qui se fait du chiffre avec nos données personnelles...le 19/01/2018 à 16:59 -
transgohanExpert éminentUne information supplémentaire pour en profiter : votre numéro de téléphone...
Personnellement à chaque fois que je donnais mon numéro je finissais par être appelé par des robots ou des commerciaux au bout de même pas une semaine et ce quelque soit l'entreprise.
Donc depuis que j'ai changé de numéro je ne le donne plus, un point c'est tout.
Et bizarrement je ne suis plus embêté.le 19/01/2018 à 21:40 -
NamicaMembre expérimentéGoogle et Facebook possèdent déjà le plus énorme annuaire téléphonique de numéros de GSM.
Et non, je n'ai pas le désir d'alimenter leur DB.le 20/01/2018 à 0:10 -
VolgaanMembre confirméMalheureusement, j'ai peur que ça ne suffise pas... De nos jours, le seul moyen de protéger son numéro de téléphone est de ne pas l'utiliser
Pourquoi ? N'oublions pas que ton numéro sera mémorisé dans le carnet d'adresses de nombreux téléphones dans ton entourage. Carnets d'adresses qui finiront tôt ou tard par être siphonnés par des applications un peu trop curieuses, sans compter la synchronisation automatique aux comptes Google, iCloud, etc. (option bien souvent activée par défaut).le 23/01/2018 à 11:06 -
VolgaanMembre confirméJ'ai l'impression que tout le monde oublie Google Authenticator ici
Il me semble qu'il n'y a aucune obligation à renseigner son numéro de téléphone pour en bénéficier. Pour ma part, le 2FA est activé et ça m'a sauvé la mise au moins une fois, donc j'en suis pleinement satisfait !le 22/01/2018 à 13:31 -
SpartacusplyMembre expertle 22/01/2018 à 13:59
-
transgohanExpert éminentle 22/01/2018 à 22:19
-
transgohanExpert éminentAssez d'accord, mais à part aller vivre reclus dans une grotte je vois mal ce qu'on peut y changer.
Mais quand on peut limiter la transmission de l'information c'est déjà un bon début.le 23/01/2018 à 11:29 -
droperMembre régulierle 2FA ne nécessite pas de leurs donner quelconque informations personnels supplémentaire ! personnellement, j'utilise le google-authenticator attend que possible (mail, compte root sur les serveurs, etc..) et ça m'as déjà sauvé quelques fois...le 19/01/2018 à 17:50