Pourquoi Google a-t-il Besoin de Votre Numéro de Téléphone Personnel?
Dans un article de blog récent, Kurt Thomas et Angelika Moscicki de l’équipe de sécurité de Google ont discuté, entre autres choses, le piratage de compte et le prix à payer. Il s'avère qu'un groupe de piratage informatique peut facturer jusqu'à 750 dollars pour la compromission d'un compte unique. En conséquence, les mauvaises habitudes de sécurité des gens semblent encore plus déconcertantes. Les cybercriminels vont empocher d’importantes sommes d’argent pour la création de comptes, mais les utilisateurs continuent de sécuriser ces comptes à l'aide de mots de passe faibles et réutilisés.
Les experts en sécurité ont mis beaucoup d'efforts pour tenter de sensibiliser le public à l'importance des mots de passe. Ils ont essayé de présenter le problème en termes simples, ils ont même donné des exemples concrets et montré comment une solution de gestion des mots de passe solide peut facilement résoudre le problème. La liste des arguments en faveur d’un mot de passe fort est pratiquement illimitée, mais les gens ne veulent rien entendre.
Table of Contents
Le problème des frictions et la solution de Google
Un semblant de solution a été trouvé: authentification à deux facteurs (2FA). Tous les services en ligne populaires proposent des formes d'authentification à deux facteurs, et on a répété maintes fois que son utilisation pouvait considérablement améliorer les chances des internautes de protéger leurs comptes. Malheureusement, les taux d'adoption restent assez faibles, et les experts estiment que cela est dû au fait que 2FA introduit trop de ce que l'on appelle dans le secteur « friction ».
Les utilisateurs n'aiment pas l'idée de devoir entrer un code secondaire chaque fois qu'ils tentent de se connecter à leurs comptes. Ils ne voient pas la sécurité renforcée comme un avantage suffisant et ils pensent plutôt que ces étapes supplémentaires ne sont qu'une complication inutile. Il est en effet difficile de nier le fait que 2FA rend l'inscription plus difficile, les spécialistes ne peuvent pas convaincre le citoyen moyen que cet effort supplémentaire en vaut la peine. Les responsables de la sécurité de Google estiment avoir trouvé la solution.
En fait, il s'agit d'un système 2FA qui est déclenché uniquement lors de tentatives de connexion suspectes. L'idée est que, lorsque vous vous trouvez dans votre ville d'origine et vous vous connectez à votre compte Google sur votre propre appareil, il vous suffit d'entrer votre adresse e-mail et votre mot de passe. Si, au contraire, Google remarque une tentative de connexion à partir d'un appareil non reconnu situé dans un autre pays, vous devrez aussi entrer un code temporaire qui vous sera envoyé par SMS ou appuyer sur une invite de votre smartphone. En général, votre expérience ne sera en aucun cas modifiée. Dans le même temps, si un pirate informatique de l'autre côté du monde découvre votre mot de passe, il ne pourra pas s'emparer de votre compte car il n'a pas accès à votre téléphone. En théorie, c'est un bon compromis. Les spécialistes de la sécurité de Google ont fait tout en leur pouvoir pour convaincre les internautes que cela fonctionnerait également dans la pratique.
Google tente de faire participer les gens
Des membres de l'équipe de sécurité de Google ont collaboré avec des experts de l'Université de New York pour mener une étude dans le but de vérifier le fonctionnement de ce système d'authentification « conscient des risques ». Les résultats sont encourageants.
Selon le rapport, si vous choisissez d'utiliser des codes temporaires fournis par SMS, votre compte résistera à pratiquement toutes les attaques de prise de contrôle lancées par des bots automatisés. Cette fonctionnalité vous permet d'augmenter vos chances de rester en sécurité lors d'attaques de phishing en masse ou ciblées. Si vous optez pour une invite sur l'appareil comme facteur d'authentification, les chiffres sont encore plus intéressants et les experts de Google espèrent que, les utilisateurs n'auront pas à suivre ce processus à chaque fois qu'ils essaieront de se connecter, ils seront plus susceptibles d'adopter le système. Mais est-ce que ce sera vraiment le cas?
Les problèmes de confidentialité
En l’état actuel des choses, les grandes firmes de la Silicon Valley, notamment Google, disposent déjà de nombreuses informations sur nous. Les récent scandales nous ont montré que parfois, aussi grands et puissants soient-ils, les géants de la technologie ne font pas assez pour protéger nos données personnelles. Conformément aux conseils des défenseurs du droit à la vie privée, il faut leur fournir le moins de données personnelles possible.
Activer le système décrit ci-dessus signifie que vous devez partager avec Google votre numéro de téléphone personnel et laisser le géant des moteurs de recherche l’utiliser comme mécanisme de récupération de compte. Beaucoup d’entre vous auront probablement un problème avec ce fait, et nous sommes sûrs que vous avez de solides arguments. Dans ce cas, il ne faut pas oublier que la sécurité de votre compte et les données qu’il contient est concernée. En fin de compte, c'est à vous de choisir, mais avant cela, réfléchissez bien si vos doutes sur la manière dont Google traite vos données sont suffisants à compenser la protection supplémentaire offerte par les systèmes « conscients aux risques » et les systèmes d'authentification à deux facteurs.
