Google fait un nouveau pas en avant dans l’authentification en deux étapes. Beaucoup vous diront que l’authentification à deux facteurs est plus sûre sans utiliser de numéros de téléphone, et Google met cette sagesse en pratique. Depuis quelques années, Google a commencé à proposer une nouvelle forme d’authentification à deux facteurs « sans code ».
Au lieu de recevoir un code dans un SMS, cela envoie une invite aux smartphones connectés à votre compte Google afin que vous puissiez confirmer que c’est bien vous qui essayez de vous connecter. À partir du 7 juillet, cette forme de double authentification (2 FA) sera la valeur par défaut sur les comptes Google et G Suite.
Les invites, dont le concept a été lancé en 2016, sont analogues, mais pas exactement les mêmes que celles que reçoivent les utilisateurs généraux : des informations sur la tentative de connexion, telle que la version du système d’exploitation de l’appareil et l’emplacement, sont affichées, mais en plus d’un choix oui/non, les utilisateurs peuvent avoir à cliquer sur leur smartphone un numéro qui correspond à celui qui est affiché sur la page de connexion.
Pourquoi la vérification par smartphone est-elle la meilleure méthode ?
Comme dit plus haut, cette méthode a pour but d’assurer une meilleure sécurité par défaut. Le géant de la recherche note que c’est tout simplement un meilleur moyen d’assurer la sécurité. En effet, s’il est assez facile d’usurper un numéro de téléphone et d’intercepter un code par SMS, il n’est pas aussi facile d’intercepter les invites sur un smartphone. L’amélioration se résume au fait qu’un autre appareil doit déjà être enregistré. Et un agresseur aurait besoin d’un accès physique à cet appareil.
Les appareils connectés peuvent également être vérifiés et retirés facilement d’un smartphone donné ou d’autres appareils dans les paramètres de gestion de compte Google. Une recherche d’appareils fait apparaître la liste. Les utilisateurs peuvent donc vérifier qu’aucun appareil inconnu ou injustifié n’est connecté avant d’utiliser l’outil. Ou retirer les appareils qu’ils ne possèdent plus.
De plus, cette sécurité se superpose au fait que l’invite apparaît sur tous les appareils en même temps. Ainsi, même si un utilisateur ne se trouve pas à proximité d’un appareil dont la carte SIM est activée, par exemple si sa carte SIM a été illégalement changée, il verra quand même l’invite. Inversement, il est également utile de le faire dans toutes les autres circonstances où une tentative d’inscription illégitime est faite.
Par ailleurs, les vérifications par smartphone sont plus pratiques. Aucune saisie de code n’est nécessaire. Les utilisateurs doivent simplement appuyer sur un bouton oui ou non. Ou pour taper sur un numéro afin de vérifier qu’ils peuvent voir le dispositif sur lequel une tentative d’identification est faite.
Quand cela arrive-t-il aux utilisateurs finaux et y a-t-il un moyen de le contourner ?
Toutefois, ce ne sera toutefois pas la seule option disponible : si vous préférez les codes SMS (qui sont par nature moins sûrs, d’où le changement), vous pouvez y revenir si vous le souhaitez. Sinon, les clés de sécurité USB et autres continueront à être prises en charge. Il convient également de noter que si vous utilisez actuellement une clé de sécurité, votre méthode 2FA ne sera pas remplacée par la méthode de l’invite sur le smartphone, de sorte que vous n’aurez pas à faire autrement.
Ce changement sera mis en œuvre lentement à partir du 7 juillet, et pourrait prendre plus de deux semaines pour être actif sur tous les comptes.
