Google va remplacer la vérification en deux étapes par une paire de clés physiques
Pour renforcer la sécurité de ses services
Google a prévu de renforcer la sécurité pour donner l’accès à ses services (Gmail, Google Drive, etc.). Seuls les clients de l'offre Gsuite seraient concernés par ces nouvelles mesures. Bloomberg rapporte en effet que l’entreprise entend faire la promotion auprès des personnes avec une attente sécurité encore plus accrue : chefs d’entreprise, politiciens, etc. Il ne s’agit encore que de confidences, mais une annonce officielle devrait être faite le mois prochain.
L’idée est de remplacer la vérification en deux étapes mise en place en 2011. Pour les utilisateurs de l’offre gratuite de Gmail par exemple, le processus est connu : mot de passe du compte à fournir (1re étape) puis saisie d’un code de vérification obtenu par SMS (2e étape). Pour les clients de la Gsuite, la sécurité de ce processus a été renforcée en 2014 avec l’introduction d’une clé physique en guise de 2e étape.
« Au lieu de saisir un code en guise de 2e étape, la clé de sécurité nous renvoie une preuve cryptographique que l’utilisateur se trouve bien sur un site Google légitime et qu’il a la clé avec lui. Puisque les pirates sont à distance, leurs efforts sont mis à mal puisque ne pouvant entrer en possession de la clé », a écrit Google en début d’année pour expliquer le bien-fondé de cette mesure.
Dans le cadre de son offre dénommée Advanced Protection Program, Google entend aller plus loin. D’après les informateurs de Bloomberg, il est question d’ajouter une deuxième clé physique à la chaîne de protection d’un compte. La nouvelle configuration est censée assurer une protection de tous les instants au compte concerné en empêchant que des applications tierces n’accèdent aux courriels ou aux fichiers du possesseur de compte.
La firme de Mountain View est dans un processus constant d’amélioration de ses services, de Gmail notamment qui est le service de messagerie le plus utilisé, avec une pénétration chaque jour un peu plus importante en entreprise. En mai dernier, les boîtes Gmail ont gagné en capacité de détection d’attaques par phishing, de pièces jointes et URL malveillantes (grâce à l’apprentissage machine, une technique de l’intelligence artificielle). Difficile d’omettre la mention de ce trio, tant il demeure l’une des armes les plus utilisées par les cybercriminels. Les attaques contre le Parti démocrate américain à l’approche des dernières élections présidentielles n’ont pas manqué de faire tache d’huile et la presse spécialisée en cybersécurité en rapporte d’autres au quotidien.
L’Advanced Protection Program est donc en principe le bienvenu pour toutes ces personnes désireuses d’assurer une protection maximale à leurs fichiers. Ne reste plus qu’à espérer qu’une option de contournement soit prévue dans le cas où toutes ou une des clés viendraient à s’égarer.
Source : Bloomberg
Et vous ?
Qu’en pensez-vous ?
Êtes-vous abonné à l’offre Gsuite ? Quel retour faites-vous de l’utilisation de l’unique clé physique ?
Voir aussi :
Gmail étend les alertes de sécurité sur Android pour les emails louches et reçoit la protection Safe Browsing
Gmail avertit désormais les utilisateurs contre les emails via des connexions non chiffrées ou provenant d'expéditeurs non authentifiés
Partager