À l’occasion de la journée mondiale du mot de passe, Google a annoncé que l’activation automatique de la double authentification allait être mise en place prochainement pour tous les utilisateurs. Cette décision d'activer automatiquement l'authentification à deux facteurs vise à accroître la sécurité des comptes utilisateurs Google en supprimant la « menace la plus importante » qui facilite le piratage : des mots de passe difficiles à retenir et pire encore, faciles à voler.
Selon Mark Risher, Directeur de la gestion des produits, Sécurité des identités et des utilisateurs chez Google, l'un des meilleurs moyens de protéger un compte contre un mot de passe piraté ou incorrect consiste à mettre en place une deuxième forme de vérification une autre façon pour le compte de confirmer qu'il s'agit bien du bon utilisateur. Il a rappelé que Google le fait depuis des années « en veillant à ce que votre compte Google soit protégé par plusieurs niveaux de vérification ».
L'authentification à deux facteurs oblige à utiliser quelque chose en plus de votre mot de passe pour vous connecter à un compte. En général, ce « quelque chose » est un code ou une demande de confirmation provenant d'un smartphone. Vous pouvez également utiliser une clef de sécurité physique, comme une clef USB. Un nom d'utilisateur et un mot de passe ne suffiront plus.
Google indique que les comptes qui ont été marqués pour le 2FA recevront un e-mail ou une notification environ sept jours avant l'entrée en vigueur de l'obligation. Les organisations disposant de comptes Google Workspace payants ne seront pas obligées d'utiliser le 2FA ; il reviendra aux administrateurs d'en décider. Le 1er novembre, YouTube a imposé le 2FA à tous les créateurs de niveau « partenaire » (YouTubers avec partage des revenus). Au bas de la page d'assistance, il est indiqué que, pour l'instant, Google laissera les personnes inscrites automatiquement au service 2FA le désactiver, mais que « bientôt, la vérification en deux étapes sera obligatoire pour la plupart des comptes Google ».
Google compte bien plus de 150 millions de comptes d'utilisateurs, mais l'entreprise affirme qu'elle ne procède qu'à l'inscription automatique des comptes Google qui disposent des mécanismes de sauvegarde appropriés pour effectuer une transition transparente vers la vérification en deux étapes. Ces mécanismes de sauvegarde comprennent un numéro de téléphone de récupération qui peut recevoir des codes SMS ou un courriel de récupération. « Parce que nous savons que la meilleure façon d'assurer la sécurité de nos utilisateurs est d'activer nos protections de sécurité par défaut, nous avons commencé à configurer automatiquement les comptes de nos utilisateurs dans un état plus sécurisé. D'ici à la fin de l'année 2021, nous prévoyons d'inscrire automatiquement 150 millions d'utilisateurs Google supplémentaires à 2SV et de demander à 2 millions de créateurs YouTube de l'activer. » Pour les comptes Google, une méthode 2FA valide est intégrée à chaque téléphone Android par la fonction "Google Prompt" de Google Play Services, qui fait apparaître une invite simple "oui" ou "non" lorsque vous vous connectez à un nouvel appareil, vous évitant ainsi de devoir taper un code. Sur iOS, les demandes d'accès à votre compte peuvent être reçues par l'application Google Search, l'application Gmail ou l'application Google Smart Lock dédiée. Une clef de sécurité est également possible.
L'authentification multifactorielle est une méthode qui exige des utilisateurs qu'ils présentent plusieurs éléments de preuve pour confirmer leur identité. Si les utilisateurs ne fournissent pas avec précision tous les facteurs d'authentification, le système n'accorde pas l'accès au compte. L'authentification à deux facteurs est, comme son nom l'indique, lorsque le système exige deux éléments de confirmation. Bien qu'il existe une grande variété de facteurs d'authentification pouvant être utilisés dans le cadre d'un système, ils appartiennent généralement à l'un des trois groupes suivants :
- connaissances (quelque chose que vous savez) : le système vous accepte si vous prouvez que vous connaissez un certain nombre d'informations, comme un code PIN, la réponse à une question de sécurité ou les détails d'une déclaration de revenus ;
- possession (quelque chose que vous avez) : le système vous accepte si vous prouvez que vous avez un dispositif physique sur vous, notamment des clefs USB, des lecteurs de cartes, des codes SMS, des applications d'authentification et des étiquettes sans fil ;
- inhérence (quelque chose que vous êtes) : le système vous accepte grâce à une comparaison biométrique, comme les scanners d'empreintes digitales, les scanners de rétine et la reconnaissance vocale.
Bien que l'authentification à deux facteurs soit présentée par Google comme le sauveur du monde, il n’est cependant pas sans risques. Examinons deux risques et inconvénients de l'authentification à deux facteurs :
Indisponibilité des facteurs
Il n'y a aucune certitude que vos facteurs d'authentification seront disponibles lorsque l’utilisateur en a besoin. En général, il est verrouillé de son compte après une seule erreur. En cas de coupure de courant ou si le téléphone est endommagé par l'eau, il n’est plus possible d’obtenir vos codes SMS comme deuxième facteur d'authentification. L'utilisation d'une clef USB comme second facteur est également risquée. Elle peut facilement être égarée ou passer accidentellement dans la machine à laver. Plus récemment, des victimes des ouragans Harvey et Irma se sont retrouvées bloquées de leurs comptes parce qu'elles n'avaient aucun moyen de charger leur téléphone. Sans téléphone, vous ne pouvez pas obtenir d'authentification, et sans celle-ci, vous n'avez pas accès.
Fausse sécurité
L'authentification à deux facteurs offre un certain niveau de sécurité, mais celui-ci est généralement exagéré. Par exemple, si vous avez été bloqué d'un service parce que vous avez perdu un facteur, vous êtes dans la même situation qu'un pirate qui tenterait d'accéder à votre compte. Si vous pouvez réinitialiser votre compte sans facteur d'accès, alors un pirate le peut aussi.
Les options de récupération vont généralement à l'encontre de l'objectif de l'authentification à deux facteurs, c'est pourquoi des sociétés comme Apple les ont supprimées. Cependant, sans options de récupération, votre compte peut être perdu à jamais. PayPal utilise l'authentification à deux facteurs, mais ne l'exécute pas entièrement. L'entreprise propose un deuxième facteur appelé PayPal Security Key, mais en 2014, il a pu être complètement contourné sans aucun effort. En somme, cela signifie que vous pouvez suivre l'authentification à deux facteurs et quand même voir votre compte violé.
Google estime que l'un des meilleurs moyens de protéger un compte contre un mot de passe piraté ou incorrect consiste à mettre en place l'authentification à deux facteurs. Cependant, la même entreprise indique que les organisations disposant de comptes Google Workspace payants ne seront pas obligées d'utiliser l'authentification à deux facteurs ; il reviendra aux administrateurs d'en décider. Si vous n'avez pas encore activé la 2FA sur votre appareil, c'est le moment, avant que Google ne le fasse pour vous. Cependant assurez-vous que vous avez toujours le second facteur avec vous.
Et vous ?
Possédez-vous un compte Gmail ?
Êtes-vous pour ou contre l'authentification à deux facteurs ?
Devrait-on obliger les gens à utiliser l'authentification à deux facteurs ?
Que pensez-vous de l'initiative de Google d'obliger ses abonnées ?
La décision de Google ne s'applique pas aux comptes Google Workspace payants, comment comprendre ? Google ne se soucie-t-elle pas de ces utilisateurs ?
Voir aussi :
Google : tous les comptes de développeurs Play Store devront activer la vérification en deux étapes, fournir une adresse et vérifier leurs coordonnées dans le courant de l'année
Google va activer l'authentification à deux facteurs par défaut pour des millions d'utilisateurs d'ici la fin de l'année, pour mieux protéger l'accès à vos contacts
L'utilisation de la double authentification augmente, les consommateurs recherchant une meilleure protection, 79 % d'utilisateurs en 2021, contre 53 % en 2019 et 28 % en 2017, selon Duo Security
Google annonce qu'il va activer par défaut l'authentification à deux facteurs pour tous ses utilisateurs, afin d'accroître la sécurité des comptes