L’authentification à deux facteurs (2FA) est une mesure de sécurité fantastique, mais tout le 2FA n’est pas créé égal. La 2FA basée sur SMS est de loin l’option d’authentification la moins sécurisée, et pourtant, beaucoup trop d’entreprises utilisent cette méthode par défaut. Les pirates le savent, c’est pourquoi ils ciblent les codes 2FA des utilisateurs pour commettre une fraude et voler l’accès aux comptes Google. Cela dit, n’importe quel 2FA est meilleur que no 2FA, il vaut donc la peine de tolérer l’authentification basée sur SMS si c’est la seule option 2FA offerte.
Maintenant, cependant, les vents changent: Google est la dernière entreprise qui cherche à passer des codes SMS à une méthode alternative. Comme l’a rapporté Forbes, la société prévoit de passer des codes SMS aux codes QR. C’est une bonne chose, même si cela change la façon dont vous vous connectez à votre compte Google.
SMS 2FA n’est pas assez sécurisé
Il est étonnamment facile de se procurer un code SMS. Si quelqu’un vole votre smartphone, par exemple, il pourra accéder à tous les codes SMS qu’il reçoit. Mais les escrocs n’ont pas besoin d’accès physique pour intercepter vos codes SMS. En fait, ils peuvent le faire tout en étant assis dans une autre partie du globe.
Les escrocs peuvent inciter les transporteurs à prendre le contrôle de la carte SIM de votre téléphone. De là, ils peuvent désactiver votre carte SIM et transférer tous les services à leurs propres, afin qu’ils puissent accéder à distance à tous les codes SMS envoyés à votre numéro. Si votre compte bancaire est protégé par le 2FA basé sur SMS, par exemple, il recevra le code sur son propre appareil, s’authentifiera et s’accumulera dans votre compte. Certains escrocs s’engagent même dans une pratique connue sous le nom de pompage du trafic, où ils trompent les organisations pour envoyer un grand nombre de SMS aux chiffres que les escrocs possèdent. Ils font un profit de ces messages, tandis que le reste d’entre nous traite d’un déluge de spam. En s’éloignant du 2FA basé sur SMS, Google espère limiter cette arnaque.
Au lieu de compter sur l’authentification basée sur SMS, j’ai recommandé d’utiliser une application Authenticatrice dédiée, ou le système PassKeys sans mot de passe que Google lui-même pousse un peu. Lorsque vous utilisez une application Authenticator, le code génère toutes les 30 secondes sur un service sécurisé qui est contrôlé par vous, et non par les opérateurs. Les applications d’authentificateur elles-mêmes nécessitent une authentification biométrique et peuvent également être protégées par mot de passe, ce qui ajoute une couche de sécurité supplémentaire. Vous pouvez utiliser une clé physique pour la sécurité maximale de l’authentification, mais une application authentificatrice correctement configurée sera très sécurisée.
Si votre jeu pour abandonner complètement les mots de passe, PassKeys est encore plus sécurisé. PassKeys sont des clés générées cryptographiquement pour chaque connexion, et elles sont uniques à l’application ou à l’application de mots de passe. Une touche passante générée pour Google, sur votre Mac, ne quitte jamais l’appareil. Même si quelqu’un met la main sur le fichier clé, il ne peut pas être piraté car il est crypté.
Google change les codes de 2fa par défaut en QR
PassKeys est l’avenir, mais en attendant, Google se déplace vers les codes QR comme la méthode de vérification par défaut pour les numéros de téléphone.
Lorsque les utilisateurs se connectent sur un nouvel appareil, ils seront invités avec un code QR qu’ils peuvent scanner à l’aide de leur smartphone pour s’authentifier. L’utilisation d’un code QR pour la vérification arrête les attaques de phishing, car il n’y a pas de code à partager. Et parce que la numérisation du code QR se produit en personne, entre deux appareils à proximité, il n’y a pas de codes de transport ou de serveurs en ligne.
Il n’y a pas encore de calendrier pour cela, car tout ce que Google a dit est de « chercher plus de nous à ce sujet dans un avenir proche ». Au fur et à mesure que la fonctionnalité déploie, je détaillerai ces étapes ici.
