Discussion :

[Patrick Ruiz]

Google va remplacer la vérification en deux étapes par une paire de clés physiques
Pour renforcer la sécurité de ses services

Google a prévu de renforcer la sécurité pour donner l’accès à ses services (Gmail, Google Drive, etc.). Seuls les clients de l'offre Gsuite seraient concernés par ces nouvelles mesures. Bloomberg rapporte en effet que l’entreprise entend faire la promotion auprès des personnes avec une attente sécurité encore plus accrue : chefs d’entreprise, politiciens, etc. Il ne s’agit encore que de confidences, mais une annonce officielle devrait être faite le mois prochain.

L’idée est de remplacer la vérification en deux étapes mise en place en 2011. Pour les utilisateurs de l’offre gratuite de Gmail par exemple, le processus est connu : mot de passe du compte à fournir (1^re étape) puis saisie d’un code de vérification obtenu par SMS (2^e étape). Pour les clients de la Gsuite, la sécurité de ce processus a été renforcée en 2014 avec l’introduction d’une clé physique en guise de 2^e étape.

« Au lieu de saisir un code en guise de 2^e étape, la clé de sécurité nous renvoie une preuve cryptographique que l’utilisateur se trouve bien sur un site Google légitime et qu’il a la clé avec lui. Puisque les pirates sont à distance, leurs efforts sont mis à mal puisque ne pouvant entrer en possession de la clé », a écrit Google en début d’année pour expliquer le bien-fondé de cette mesure.

Dans le cadre de son offre dénommée Advanced Protection Program, Google entend aller plus loin. D’après les informateurs de Bloomberg, il est question d’ajouter une deuxième clé physique à la chaîne de protection d’un compte. La nouvelle configuration est censée assurer une protection de tous les instants au compte concerné en empêchant que des applications tierces n’accèdent aux courriels ou aux fichiers du possesseur de compte.

La firme de Mountain View est dans un processus constant d’amélioration de ses services, de Gmail notamment qui est le service de messagerie le plus utilisé, avec une pénétration chaque jour un peu plus importante en entreprise. En mai dernier, les boîtes Gmail ont gagné en capacité de détection d’attaques par phishing, de pièces jointes et URL malveillantes (grâce à l’apprentissage machine, une technique de l’intelligence artificielle). Difficile d’omettre la mention de ce trio, tant il demeure l’une des armes les plus utilisées par les cybercriminels. Les attaques contre le Parti démocrate américain à l’approche des dernières élections présidentielles n’ont pas manqué de faire tache d’huile et la presse spécialisée en cybersécurité en rapporte d’autres au quotidien.

L’Advanced Protection Program est donc en principe le bienvenu pour toutes ces personnes désireuses d’assurer une protection maximale à leurs fichiers. Ne reste plus qu’à espérer qu’une option de contournement soit prévue dans le cas où toutes ou une des clés viendraient à s’égarer.

Source : Bloomberg

Et vous ?

Qu’en pensez-vous ?

Êtes-vous abonné à l’offre Gsuite ? Quel retour faites-vous de l’utilisation de l’unique clé physique ?

Voir aussi :

Gmail étend les alertes de sécurité sur Android pour les emails louches et reçoit la protection Safe Browsing
Gmail avertit désormais les utilisateurs contre les emails via des connexions non chiffrées ou provenant d'expéditeurs non authentifiés

[Markand]

Le meilleur moyen de faire un système non portable, non utilisé. Les gens sous linux ne vont pas vouloir installer un driver non libre avec une clé qui potentiellement pourra avoir accès à encore + de vos données privées. Bref, sans moi.

[TheGuit]

Le meilleur moyen de faire un système non portable, non utilisé. Les gens sous linux ne vont pas vouloir installer un driver non libre avec une clé qui potentiellement pourra avoir accès à encore + de vos données privées. Bref, sans moi.

Actuellement Gmail support déjà les clé U2F et ça fonctionne très bien sous Linux. C'est très pratique et c'est un standard donc utilisable par d'autre.

Moi je valide

[santaria]

si chaque application se met a fournir sa clé physique, on n'en sortira pas.

[Namica]

Le meilleur moyen de faire un système non portable, non utilisé. Les gens sous linux ne vont pas vouloir installer un driver non libre avec une clé qui potentiellement pourra avoir accès à encore + de vos données privées. Bref, sans moi.

Google suit le standard U2F : https://fidoalliance.org/about/what-is-fido/
Pas de driver spécifique. U2F (ou UAF) sont des protocoles basés sur des standards.
Les données biométriques sont censées ne jamais quitter la clé.
Cela étant dit, je reste extrêmement rétissant à l'usage de données biométriques.
Un mot de passe, je peux le changer s'il est compromis. Mon doigt, non.
Les références sur la falsification d'empreintes ne manquent pas sur DVP et ailleurs.
Que les fanboys de smartphones utilisant la reconnaissance d'empreintes m'épargnent la peine de justifier ce point.