1 pièce(s) jointe(s)
Google lance sa propre clé de sécurité physique
Les clés de sécurité physiques, une solution efficace contre les attaques d’hameçonnage ?
Oui, d'après le retour d'expérience de Google
Les cyberattaques sont un problème récurrent auquel toutes les entreprises technologiques sont, à un moment ou à un autre, confrontées. Google, une des plus grandes firmes IT au monde, n’a certainement pas été épargné par les pirates. Mais, la donne a changé - en ce qui concerne les attaques par hameçonnage - lorsqu’en 2017, l’entreprise de la Silicon Valley a remplacé les mots de passe de tous ses employés par des clés de sécurité physiques, rendant ipso facto les attaques d’hameçonnage beaucoup plus ardues. Rappelons que dans la même année, l’entreprise avait entrepris de renforcer la sécurité autour de ses services tels que Gmail ou Google Drive en y associant également des clés de sécurité physiques. C’est donc dans la droite ligne de ces mesures que Google a exigé de ses employés l’usage de ces clés de sécurité en lieu et place des mots de passe ou des codes uniques.
Les clés de sécurité sont des périphériques USB peu coûteux qui offrent une approche alternative à l'authentification à deux facteurs (2FA), qui obligeait l'utilisateur à se connecter à un site Web à l'aide d’un mot de passe et d’un appareil mobile. Elles fonctionnent sans avoir besoin de pilotes logiciels spéciaux. Et apparemment, elles semblent faire leurs preuves. « Nous n'avons eu aucune prise de contrôle de compte signalée ou confirmée depuis la mise en place des clés de sécurité chez Google », a déclaré un porte-parole de l’entreprise. « Les utilisateurs peuvent être invités à s'authentifier en utilisant leur clé de sécurité pour de nombreuses applications et pour diverses raisons. Tout dépend de la sensibilité de l'application et du risque de l'utilisateur à ce moment-là », a-t-il ajouté.
Le principe de l'authentification à deux facteurs est que même si les pirates parviennent à dérober votre mot de passe, ils ne puissent toujours pas se connecter à votre compte, sauf s'ils parviennent à pirater ou posséder le second facteur. Les formes les plus courantes d’authentification à deux facteurs exigent que l'utilisateur ajoute un mot de passe avec un code unique envoyé à son appareil mobile via un message texte ou une application. Et avant 2017, même les employés de Google devaient se servir de codes uniques générés par Google Authenticator. La clé de sécurité, par contre, exécute une forme d’authentification appelée Universal 2nd Factor qui permet à l’utilisateur d’achever le processus de connexion rien qu’en insérant le périphérique USB et en appuyant sur un bouton de l’appareil.
L'Universal 2nd Factor est une norme émergente d'authentification open source, et à ce titre seule une poignée de sites de haut niveau le supportent (Dropbox, Facebook, Github, les services de Google). La plupart des principaux gestionnaires de mots de passe, notamment Dashlane, Keepass et LastPass, le prennent également en charge. Il est actuellement supporté par Chrome, Mozilla Firefox et Opera.
L'utilisation de SMS et d'appels téléphoniques automatisés pour recevoir un code ponctuel serait moins sûre que de se fier à une application telle que Google Authenticator ou Authy. En effet, les pirates pourraient intercepter ce code ponctuel en incitant le fournisseur de services mobiles à échanger la carte SIM de l'appareil mobile ou à transférer le numéro de mobile vers un autre appareil. Cependant, si les seules options d’authentification à deux facteurs offertes par un site sont des SMS et/ou des appels téléphoniques, c'est toujours mieux que d'utiliser uniquement un mot de passe.
Source : Billet de blog
Et vous ?
:fleche: Qu’en pensez-vous ?
:fleche: Les clés de sécurité physiques sont-elles une solution efficace contre les attaques d’hameçonnage ? Pourquoi ?
Voir aussi
:fleche: Californie : un lycéen change ses notes après une attaque par hameçonnage et fait désormais face à 14 chefs d'inculpation
:fleche: Une campagne d'attaque sur Android combine l'hameçonnage d'identifiant à un Trojan bancaire pour des attaques plus sophistiquées
:fleche: Les cybercriminels utilisent des jeux de caractères trompeurs dans des noms de domaines pour créer des sites d'hameçonnage difficiles à détecter
:fleche: Google intègre une fonctionnalité anti-phishing dans son application Gmail pour Android à la suite des récentes attaques subies par ses utilisateurs
:fleche: Google va remplacer la vérification en deux étapes par une paire de clés physiques pour renforcer la sécurité de ses services
1 pièce(s) jointe(s)
Google lance sa propre clé de sécurité physique
Google lance sa propre clé de sécurité physique
après avoir constaté que ces périphériques USB sont efficaces contre les attaques d'hameçonnage
Après avoir expérimenté les clés de sécurité en interne, Google a rapporté que celles-ci offrent une solution efficace contre les attaques d'hameçonnage. La suite de l'histoire, c'est que la firme américaine a décidé de lancer maintenant sa propre clé de sécurité, appelée Titan.
À la dernière conférence Google Cloud Next, la marque de clés de sécurité physiques propre à Google a été présentée. Les entreprises comme Yubico, une entreprise spécialisée en sécurité 2FA dont le chiffre d’affaires avait explosé ces deux dernières années du fait du succès des clés de sécurité, doivent donc se préparer à voir arriver une grosse concurrence. Titan, la clé de sécurité physique made by Google, comprend un firmware développé par l’entreprise elle-même et est déjà disponible. Éventuellement, sa commercialisation s’élargira aux clients généraux de l’entreprise. Comme les clés de sécurité qui circulent déjà sur le marché, Titan fournira un deuxième facteur d’authentification pour l’utilisation de logiciel, l’accès au réseau, la gestion de comptes et pour bien d’autres services encore.
Il ne suffit donc plus de saisir un simple mot de passe. L’accès aux services est conditionné à l’insertion de la clé de sécurité physique. « Nous préconisons depuis longtemps l’utilisation de clés de sécurité comme moyen d’authentification le plus puissant et le plus résistant aux attaques d'hameçonnage pour les utilisateurs de grande valeur, en particulier les administrateurs de Cloud, afin de les protéger contre les conséquences potentiellement préjudiciables du vol d’informations », a déclaré Jennifer Lin, une directrice de produit Google Cloud. Elle ajoute que Titan offrira aux utilisateurs la tranquillité d’esprit découlant de la certitude que leurs données sont en sécurité.
« Titan fournit une sécurité très renforcée avec très peu d’interaction et d’effort de la part de l’utilisateur. Sur le backend, tout ce que vous avez à faire sur la console d’administration est de cocher une case qui dit "utiliser les clés de sécurité Titan pour cette application". C’est si simple. Et même en cas d’attaque de type man-in-the-middle ou d’attaques similaires, l’authentification échouera et la connexion sera refusée », a souligné Rob Sadowski, Trust and Security Marketing Lead de Google Cloud.
L’efficacité de la mesure semble donc être à la hauteur de la menace que représente l'hameçonnage. Selon CyberScoop, environ 71 % des attaques ciblées commencent par des tentatives d'hameçonnage. Bien que d’autres formes plus courantes d’authentification à deux facteurs existent, les clés de sécurité semblent se placer en pole position parce que les autres, semble-t-il, pourraient toutes être piratées beaucoup plus facilement. Mais il faut garder en mémoire que même une authentification multifactorielle pas très sécurisée est toujours mieux qu’une authentification à un seul facteur.
Source : CyberScoop
Et vous ?
:fleche: Qu’en pensez-vous ?
:fleche: Google a-t-il raison de faire confiance à la clé de sécurité physique contre les attaques d'hameçonnage ?
Voir aussi
:fleche: Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google
:fleche: Californie : un lycéen change ses notes après une attaque par hameçonnage et fait désormais face à 14 chefs d'inculpation
:fleche: Une campagne d'attaque sur Android combine l'hameçonnage d'identifiant à un Trojan bancaire pour des attaques plus sophistiquées
:fleche: Les cybercriminels utilisent des jeux de caractères trompeurs dans des noms de domaines pour créer des sites d'hameçonnage difficiles à détecter
:fleche: Google intègre une fonctionnalité anti-phishing dans son application Gmail pour Android à la suite des récentes attaques subies par ses utilisateurs
1 pièce(s) jointe(s)
Les clés de sécurité Titan de Google sont disponibles à 50 dollars aux États-Unis
Les clés de sécurité Titan de Google sont disponibles à 50 dollars aux États-Unis,
Pourquoi les utiliser ou non ?
Google a eu l’idée de concevoir sa propre clé de sécurité physique, appelée Titan, après avoir expérimenté ces dispositifs sur 85 000 de ses employés l’année dernière. L'entreprise de la Silicon Valley avait remplacé les mots de passe de ses employés par des clés de sécurité physiques. Une expérimentation qui lui permit de découvrir que celles-ci offrent une solution efficace contre les attaques par hameçonnage.
Cette clé de sécurité physique made by Google est maintenant disponible aux Etats-Unis à 50 dollars, bonus à l’appui. Le bonus comprend une clé de sécurité Bluetooth ainsi qu'un adaptateur USB-C vers USB-A et un câble de connexion USB-C vers USB-A. Même si Google semble très enthousiasmé pour ce qui est de la sortie de sa clé Titan, l'on ne saurait en dire autant des internautes.
Pour les personnes inscrites aux programmes de sécurité avancée de Google, la firme recommande l’usage de Titan.
Pour certains utilisateurs, 50 dollars est un peu exagéré surtout que d’autres matériels offrant le même service sont disponibles ailleurs à un coût plus bas.
D'autres utilisateurs déclarent être sceptiques quant à la fiabilité de cette clé publique de Google. Ils auraient peu confiance à Google à cause du FBI ou du gouvernement qui pourrait exiger un jour auprès de Google l’approvisionnement des informations personnelles de ses usagers. Ceci n’est pas le cas avec Apple, déclarent-ils.
Il y a également des groupes de personnes qui ne voient pas l’utilité de cette clé et préfèrent continuer avec leur bonne et vieille méthode de protection des données.
Les clés physiques présentent aussi un inconvénient, car si vous les perdez, vous êtes grillés. Avec ces clés, plus besoin de saisir un mot de passe. L’accès aux services est activé dès l’insertion de la clé de sécurité physique sur votre ordinateur.
Néanmoins, face à ce problème, Google dit qu'il peut vous aider à accéder à nouveau à votre compte, mais le processus de récupération peut prendre plusieurs jours.
Source : Google Store
Et vous ?
:fleche: Qu'en pensez-vous ? Pensez-vous que cette clé de sécurité physique Titan de Google soit nécessaire ? Partagez vos avis
Voir aussi :
:fleche: Google lance sa propre clé de sécurité physique, après avoir constaté que ces périphériques USB sont efficaces contre les attaques d'hameçonnage
:fleche: Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? oui, d'après le retour d'expérience de Google
Il y a des sources pour tout ce qui est avancé dans le dernier paragraphe ? ...
Citation:
Envoyé par
PofNClimb
Il y a des sources pour tout ce qui est avancé dans le dernier paragraphe ? ...
Suivez ce lien :) https://krebsonsecurity.com/2018/07/...oyee-phishing/
1 pièce(s) jointe(s)
Les clés de sécurité physiques Titan de Google sont fabriquées par une entreprise chinoise
Les clés de sécurité physiques Titan de Google sont fabriquées par une entreprise chinoise
Ce qui inquiète des experts du domaine
Depuis peu, Google met des clés de sécurité physiques à la vente sur sa boutique en ligne. La firme de Mountain View a chargé une entreprise chinoise de la fabrication des dispositifs Titan utilisés pour la connexion sécurisée à des services en ligne. La manœuvre inquiète des experts du domaine.
À San Francisco lors de sa conférence Next cloud du mois dernier, le géant technologique a procédé à la présentation desdites clés sans nommer le fabricant. Une publication de la CNBC fait état de ce que Google joue ce rôle d’un point de vue légal. Elle mentionne ensuite Feitian comme responsable du volet fabrication des clés dans la pratique. Motherboard rapporte que Google lui a confirmé que Feitian fabrique effectivement les dispositifs de sécurité et que le géant de la Tech ne trouve aucun problème à travailler avec l’entreprise chinoise basée à Beijing.
En début d’année, Google a finalisé avec l’acquisition des activités hardware de HTC. L'acquisition d’une équipe du constructeur taïwanais de smartphones est une indication de la volonté de Google de mettre le paquet sur ses projets de production de son propre hardware. La décision du géant de la Tech de confier la fabrication de ces nouveaux dispositifs de sécurité à une entreprise chinoise est donc aux antipodes de la précédente manœuvre. Bien plus, elle inquiète des experts de la sphère de la cybersécurité.
Ces derniers appellent à plus de transparence autour des clés. « Je crois que ce serait une bonne chose s’ils documentent les processus de leur chaîne d’approvisionnement », déclare Alex Stamos – responsable de la sécurité des systèmes d’information de l’université de Standford. Pour le moment, les clés sont à la vente aux USA et au sein de la communauté de la cybersécurité du pays, il y a des craintes que le gouvernement chinois en tire des bénéfices. « En Chine, la chaîne d’approvisionnement est souvent dictée par la politique gouvernementale », rapporte Motherboard des propos d’un autre expert.
Les experts évoquent la possibilité que le gouvernement chinois force l’entreprise chargée de la fabrication à introduire des portes dérobées au sein des dispositifs. Leur posture est compréhensible quand on se souvient que l’Agence nationale pour la sécurité des États-Unis (NSA) serait parvenue à introduire des backdoors dans des produits de l’équipementier réseau Cisco. En réponse à ces inquiétudes, Google répond que le firmware de la puce qui fournit les clés de sécurité est développé par ses soins et que le chip est scellé avant son acheminement au fabricant.
Cette situation pose le problème plus général de cette dépendance à la Chine. Apple, Samsung, etc. disposent de chaînes de montage sur le sol de l’empire du Milieu. Le problème est connu : il faut minimiser les dépenses en s’appuyant sur une main-d’oeuvre abondante et très peu coûteuse. Seulement, cela se fait avec des risques de compromission de la sécurité des consommateurs desdits produits. Dès son entrée en fonction, Donald Trump a décidé d’attraper le taureau par les cornes en incitant les géants de la Tech étasuniens à construire des usines sur place.
Sources : CNBC, Motherboard
Et vous ?
:fleche: Qu’en pensez-vous ?
:fleche: Quelles sont les mesures prises au niveau européen pour s'affranchir de cette dépendance à la Chine ? Quel commentaire faites-vous de ces dernières ?
Voir aussi :
:fleche: Google va remplacer la vérification en deux étapes par une paire de clés physiques pour renforcer la sécurité de ses services
:fleche: Google apporte Advanced Protection à son service de messagerie Gmail, un ensemble d'outils pour renforcer la sécurité de votre adresse électronique
:fleche: Les clés de sécurité physiques, une solution efficace contre les attaques d'hameçonnage ? Oui, d'après le retour d'expérience de Google