IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google lance sa propre clé de sécurité physique
Après avoir constaté que ces périphériques USB sont efficaces contre les attaques d'hameçonnage

Le , par Bill Fassinou

880PARTAGES

14  0 
Après avoir expérimenté les clés de sécurité en interne, Google a rapporté que celles-ci offrent une solution efficace contre les attaques d'hameçonnage. La suite de l'histoire, c'est que la firme américaine a décidé de lancer maintenant sa propre clé de sécurité, appelée Titan.


À la dernière conférence Google Cloud Next, la marque de clés de sécurité physiques propre à Google a été présentée. Les entreprises comme Yubico, une entreprise spécialisée en sécurité 2FA dont le chiffre d’affaires avait explosé ces deux dernières années du fait du succès des clés de sécurité, doivent donc se préparer à voir arriver une grosse concurrence. Titan, la clé de sécurité physique made by Google, comprend un firmware développé par l’entreprise elle-même et est déjà disponible. Éventuellement, sa commercialisation s’élargira aux clients généraux de l’entreprise. Comme les clés de sécurité qui circulent déjà sur le marché, Titan fournira un deuxième facteur d’authentification pour l’utilisation de logiciel, l’accès au réseau, la gestion de comptes et pour bien d’autres services encore.

Il ne suffit donc plus de saisir un simple mot de passe. L’accès aux services est conditionné à l’insertion de la clé de sécurité physique. « Nous préconisons depuis longtemps l’utilisation de clés de sécurité comme moyen d’authentification le plus puissant et le plus résistant aux attaques d'hameçonnage pour les utilisateurs de grande valeur, en particulier les administrateurs de Cloud, afin de les protéger contre les conséquences potentiellement préjudiciables du vol d’informations », a déclaré Jennifer Lin, une directrice de produit Google Cloud. Elle ajoute que Titan offrira aux utilisateurs la tranquillité d’esprit découlant de la certitude que leurs données sont en sécurité.

« Titan fournit une sécurité très renforcée avec très peu d’interaction et d’effort de la part de l’utilisateur. Sur le backend, tout ce que vous avez à faire sur la console d’administration est de cocher une case qui dit "utiliser les clés de sécurité Titan pour cette application". C’est si simple. Et même en cas d’attaque de type man-in-the-middle ou d’attaques similaires, l’authentification échouera et la connexion sera refusée », a souligné Rob Sadowski, Trust and Security Marketing Lead de Google Cloud.

L’efficacité de la mesure semble donc être à la hauteur de la menace que représente l'hameçonnage. Selon CyberScoop, environ 71 % des attaques ciblées commencent par des tentatives d'hameçonnage. Bien que d’autres formes plus courantes d’authentification à deux facteurs existent, les clés de sécurité semblent se placer en pole position parce que les autres, semble-t-il, pourraient toutes être piratées beaucoup plus facilement. Mais il faut garder en mémoire que même une authentification multifactorielle pas très sécurisée est toujours mieux qu’une authentification à un seul facteur.

Source : CyberScoop

Et vous ?

Qu’en pensez-vous ?
Google a-t-il raison de faire confiance à la clé de sécurité physique contre les attaques d'hameçonnage ?

Voir aussi

Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google

Californie : un lycéen change ses notes après une attaque par hameçonnage et fait désormais face à 14 chefs d'inculpation

Une campagne d'attaque sur Android combine l'hameçonnage d'identifiant à un Trojan bancaire pour des attaques plus sophistiquées

Les cybercriminels utilisent des jeux de caractères trompeurs dans des noms de domaines pour créer des sites d'hameçonnage difficiles à détecter

Google intègre une fonctionnalité anti-phishing dans son application Gmail pour Android à la suite des récentes attaques subies par ses utilisateurs

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Blondelle Mélina
Chroniqueuse Actualités https://www.developpez.com
Le 31/08/2018 à 9:44
Citation Envoyé par PofNClimb Voir le message
Il y a des sources pour tout ce qui est avancé dans le dernier paragraphe ? ...
Suivez ce lien https://krebsonsecurity.com/2018/07/...oyee-phishing/
1  0 
Avatar de pierre-y
Membre chevronné https://www.developpez.com
Le 03/09/2018 à 8:29
Ca protège de google aussi?
1  0 
Avatar de pboulanger
Membre éprouvé https://www.developpez.com
Le 03/09/2018 à 9:11
Même si c'était produit aux US, je me méfierais aussi... Les américains ne pratiquent absolument pas l'espionnage et à tous les niveaux...
1  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 03/09/2018 à 13:13
Citation Envoyé par Patrick Ruiz Voir le message

Cette situation pose le problème plus général de cette dépendance à la Chine.
Dépendance à la Chine ou aux USA, peu importe... Ce sont toujours les européens qui sont les dindons de la farce!

Un pays européen a revu il y a quelques années entièrement son infrastructure de communication et a fait le choix de s'équiper en Huawei, un fabricant chinois connu pour être très, très, très proche des services de renseignements chinois.

Des critiques sont apparues mettant en avant le risque chinois. Les services de renseignement du pays en question ont conclu par un commentaire désabusé: "Soit on se fait espionner par les chinois, soit par les américains... Pour l'instant, on a plus à craindre des ricains que des chinois alors Huawei toute!"

La seule et vraie question est de savoir comment les autorités européennes peuvent se vanter d'être une puissance mondiale de 500 millions d'âmes sans avoir la moindre autonomie au niveau des équipements numériques aussi bien hardware que software...
1  0 
Avatar de Tagashy
Membre confirmé https://www.developpez.com
Le 27/07/2018 à 12:24
Et même en cas d’attaque de type man-in-the-middle ou d’attaques similaires, l’authentification échouera et la connexion sera refusée
eum eum eum ...

Faudrais pas prendre les gens pour des cons ... en cas de Man-In-The-Middle l'authentification seras un sucées pour l’attaquant mais il n'auras pas le mot de passe ah bas si en fait, il auras juste pas le token donc il ne pourra pas se reloguer par la suite par contre il est logué donc il peut potentiellement désactiver le 2FA enfin bref ...

Le seul moyen qu'ils aurais pour empêcher ça c'est de faire une validation de l'ordinateur sur laquelle la clé est branché, mais ça servirais a rien vue que en MITM bas la validation passerais a travers l'attaquant, j'ai besoin d'en rajouter ? à la rigueur un challenge à la WPA2 bloquerais le mitm jusqu'as un certain point mais il faudrait que toute la co passe via un channel cré via cette négociation de clé, ce qui n'est pas du tous prévue via HTTP(S).

ils faut ce rappeler qu'a la base un ordi c'est une machine a recopier des bits donc faut pas s'attendre a ce que la machine d'un attaquant ne puisse pas recopier les bits d'un 2FA.

par contre c'est niquel pour remplacer des mots de passe comme ils le disent vue que ça va bloquer les attaques par dico et la bruteforce sur ce genre de clé c'est inutile (trop longue chaîne de caractère)

bref je m’énerve lorsque je vois des absurdité pareille la clé est certainement le moyen le plus secure en 2FA mais non ça n’arrête pas du MITM seul un handshake style WPA2 ou du HSTS peuvent empêcher le MITM de fonctionner
0  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 02/08/2018 à 8:49
" il faudrait que toute la co passe via un channel cré via cette négociation de clé, ce qui n'est pas du tous prévue via HTTP(S). "
" ça n’arrête pas du MITM seul un handshake style WPA2 ou du HSTS peuvent empêcher le MITM de fonctionner "

Je ne comprend pas, HSTS (HTTP Strict Transport Security) n'est pas une partie une partie de HTTPS ?
Comment HSTS le permettrait si HTTPS ne le permet pas ? ^^'
0  0 
Avatar de PofNClimb
Membre à l'essai https://www.developpez.com
Le 31/08/2018 à 9:33
Il y a des sources pour tout ce qui est avancé dans le dernier paragraphe ? ...
0  0 
Avatar de 1franck
Membre régulier https://www.developpez.com
Le 31/08/2018 à 18:48
Google dit qu'il peut vous aider à accéder à nouveau à votre compte, mais le processus de récupération peut prendre plusieurs jours ...
Ça donne confiance!
0  0 
Avatar de onilink_
Membre émérite https://www.developpez.com
Le 02/09/2018 à 17:39
Ils ont pas moyen de vérifier le hardware physiquement, en regardant directement le DIE au microscope électronique ou équivalent?
C'est du taf mais j'imagine qu'ils ont les moyens. Et au moins ils seraient sûr que ce qui devait être gravé a été gravé sans changements.
A moins que les technologies de gravure récentes soient trop complexe à visualiser (j'ai cru comprendre qu'on avait de plus en plus de couches).
0  0 
Avatar de
https://www.developpez.com
Le 02/09/2018 à 17:59
@onilink_

Il n'y a pas que le multi-couche qui peux poser des problèmes, les fondeurs collent aussi des systèmes pour empêcher l'observation au microscope comme des gilles qu'on retrouve fréquemment sur les circuits pour qu'on ne puisse pas voir le composant même après l'avoir débarrassé de son boitier/enrobage par exemple.
0  0