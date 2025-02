Google a décidé de remplacer l’authentification à deux facteurs (2FA) par SMS par un système basé sur des QR codes pour Gmail, une mesure visant à renforcer la sécurité des comptes utilisateurs face au phishing et aux cyberattaques. Bien que cette nouvelle méthode soit plus fiable, elle pourrait s’avérer moins pratique selon son implémentation.

Au cours des prochains mois, des QR codes seront plutôt déployés pour remplacer les codes SMS afin de « réduire l’impact des abus de SMS à l’échelle mondiale », a déclaré à Forbes Ross Richendrfer, porte-parole de Gmail.

Google utilise les codes SMS à la fois pour vérifier qu’il s’agit de la même personne qui a créé ou possède un compte Gmail, et comme moyen de dissuasion pour empêcher les criminels de créer « des milliers de comptes Gmail afin de distribuer du spam et des logiciels malveillants », explique Richendrfer.

Pourquoi Google abandonne-t-il l’authentification par SMS ?

L’authentification à deux facteurs (2FA) est une méthode essentielle pour sécuriser les comptes en ajoutant une couche de protection supplémentaire aux mots de passe. Aujourd’hui, la plupart des plateformes, y compris Google, utilisent des codes temporaires envoyés par SMS ou e-mail pour empêcher l’accès frauduleux aux comptes.

Cependant, le SMS est considéré comme la méthode 2FA la plus faible. Il est vulnérable aux attaques de phishing et d’ingénierie sociale. Par exemple, un pirate peut appeler une victime en se faisant passer pour un service client et lui demander de lui fournir son code de vérification. De plus, les failles de sécurité des opérateurs mobiles rendent également les SMS interceptables.

Google a intégré le 2FA par SMS par défaut en 2021, mais après quatre ans d’expérience, l’entreprise souhaite renforcer la sécurité avec une méthode plus robuste.

Comment fonctionnera la nouvelle authentification par QR code ?

Au lieu de recevoir un code à 6 chiffres par SMS, les utilisateurs verront désormais un QR code affiché à l’écran lorsqu’ils tentent de se connecter à leur compte Google. Il faudra alors scanner ce QR code avec l’appareil photo de son smartphone pour valider la connexion.

Le principal objectif est d’éliminer les vulnérabilités liées aux SMS, tout en rendant plus difficile la manipulation des victimes par les pirates. Il est en effet plus simple de convaincre une personne de donner un code reçu par SMS que de l’amener à scanner un QR code suspect.

Les limites et interrogations sur cette nouvelle méthode

Bien que ce système semble plus sécurisé, il soulève certaines questions sur son fonctionnement :

Et si l’utilisateur n’a pas accès à son smartphone au moment de la connexion ?

Comment Google gérera-t-il l’authentification 2FA pour les connexions mobiles ?

Les QR codes seront-ils totalement à l’abri des attaques de phishing ?

Dans la majorité des cas, les QR codes contiennent simplement un lien vers une page Web demandant la validation d’une connexion. Un hacker expérimenté pourrait encore tromper une victime en lui envoyant un faux QR code redirigeant vers une page frauduleuse.

Vers une authentification plus sécurisée et fluide ?

L’abandon des codes par SMS est une avancée nécessaire, mais il reste encore des défis à relever pour rendre l’authentification à deux facteurs plus accessible et pratique.

D’autres solutions comme les clés de sécurité matérielles offrent une protection encore plus solide, mais elles restent peu populaires et parfois contraignantes. De leur côté, les Passkeys (identification biométrique et authentification sans mot de passe) commencent à se démocratiser, mais ne remplacent pas totalement la 2FA.

Bientôt, se connecter à Google ressemblera à la commande d’un menu dans un restaurant utilisant uniquement des QR codes… Reste à voir si cela sera plus efficace ou simplement plus frustrant !