Moins de 10 % des utilisateurs de Google activent l'authentification à deux facteurs
malgré les efforts de l'entreprise pour en faire un outil de sécurité efficace
En 2011, Google a introduit l'authentification à deux facteurs (2FA) pour les comptes Gmail et ses autres services en ligne gratuits. Le but était de dresser un second rideau de protection contre les attaquants et renforcer la sécurité des comptes en ligne des utilisateurs. Comme d'autres sociétés technologiques, cependant, Google n'a pas fait de l'authentification à deux facteurs une fonctionnalité par défaut pour éviter d'introduire des contraintes qui pourraient par exemple chasser les utilisateurs. Comme résultat, sept ans après, pratiquement personne n'utilise l'authentification à deux facteurs, d'après Grzegorz Milka, un ingénieur de Google. Pendant une présentation à la conférence de sécurité Enigma 2018 en Californie, Grzegorz Milka a en effet révélé qu'aujourd'hui que moins de 10 % des comptes Google actifs utilisent la méthode 2FA pour verrouiller leurs services.
Pour Google, l'authentification à deux facteurs reste pourtant un outil de sécurité extrêmement efficace face aux violations de comptes qui sont de plus en plus fréquentes. La firme de Mountain View dit en effet avoir obtenu, en 2016, plus de 4000 copies de données issues de violations de sécurité, avec un total de 3,3 milliards d'informations d'identification volées. Ces données volées incluaient également 67 millions de mots de passe Google valides. Ces chiffres, d'après Grzegorz Milka, devraient alerter sur la nécessité d'utiliser une méthode de « défense en profondeur » qui peut fonctionner même lorsque des mots de passe sont volés. À propos, une étude menée sur un an par Google, et publiée en novembre dernier, a montré qu'environ 250 000 informations de connexion sont volées par les pirates chaque semaine. Il faut aussi noter que l'étude s'est concentrée uniquement sur les comptes Google.
Pour la grande majorité des utilisateurs qui n'ont pas encore activé l'authentification à deux facteurs, Google dit toutefois ajouter ses propres niveaux de sécurité pour empêcher la prise de contrôle de leurs comptes par les pirates. Il s'agit notamment de déterminer à quel point est suspecte une connexion, en se basant sur différents éléments comme le lieu, l'appareil et l'heure de la connexion, entre autres. Google peut également suspecter une connexion en fonction de sa similarité avec des patterns connus utilisés par les pirates. Ses signaux changent aussi régulièrement.
Lors de la conférence de sécurité, Grzegorz Milka de Google a également décrit les efforts de l'entreprise pour faire de l'authentification à deux facteurs un outil de sécurité extrêmement efficace face aux violations de comptes. À ce sujet, rappelons qu'à la fin de l'année dernière, Google a mis à jour ses outils d'authentification à deux facteurs. Pour les utilisateurs de G Suite Enterprise, Google recommande de choisir des clés de sécurité physiques comme méthode d'authentification d'un compte pour répondre à des exigences de sécurité plus avancées. Google a aussi abandonné la validation par SMS comme méthode par défaut, au profit d'une invite comme une méthode plus simple et plus sécurisée pour authentifier un compte.
Source : Cyber Scoop
Et vous ?
Qu'en pensez-vous ?
Utilisez-vous l'authentification à deux facteurs ?
Sinon, quelles méthodes utilisez-vous pour renforcer la sécurité de vos comptes en ligne ?
Partager