Qu'est-ce qu'une Clé de Sécurité Google et Comment Fonctionne-t-elle avec Votre Téléphone Android 7.0+?
Les responsables de la sécurité de Google estiment qu'ils en savent quelque chose sur l'Authentification à deux facteurs (2FA) ou la validation en deux étapes, comme ils aiment l'appeler. Ils pensent que les systèmes 2FA les plus sécurisés sont ceux basés sur un standard appelé Second facteur universel (U2F). L'année dernière, ils étaient fiers d'annoncer que, depuis la mise en place d'un système U2F 2FA, ils n'avaient enregistré aucune attaque de phishing réussie contre les employés de Google.
Le problème avec U2F est que si vous l’utiliser cela signifie d'obtenir une clé USB ou NFC (communication en champ proche) distinct qui, bien que relativement bon marché, coûte de l’argent et, malheureusement, un grand nombre de personnes ne sont pas prêtes à payer pour une sécurité supplémentaire. De plus, si vous perdez votre clé U2F, la restauration de l'accès à vos comptes peut s'avérer fastidieuse.
Google tente de résoudre le problème 2FA
L’équipe de sécurité de Google estime qu’elle peut contourner ce problème en appliquant une norme semblable à U2F dans quelque chose que les gens possèdent déjà: leurs téléphones. La semaine dernière, le géant des moteurs de recherche a annoncé que les smartphones fonctionnant sous Android 7.0 et les versions ultérieures peuvent désormais jouer le rôle de « clés de sécurité » (l'équivalent de jetons U2F) dans la fonctionnalité de Google Validation en deux étapes.
L'idée est assez simple: vous essayez d'accéder à votre compte Google via un nouvel appareil et le téléphone Android qui se trouve dans votre poche affiche une notification. Pour terminer la procédure de connexion, vous devez déverrouiller votre téléphone et confirmer que la tentative de connexion est légitime. Les avantages sont évidents.
Même si quelqu'un dispose des informations de connexion pour votre compte Google, il ne peut pas y accéder. Parallèlement, il n'y a pas de mot de passe à usage unique qui peut être intercepté ou devenu un objet de phishing. Et bien que les gens aiment Jay Brodsky, la personne qui a engagé une action en justice contre Apple pour « l'avoir obligé » à utiliser 2FA, qui continuera à se plaindre de la difficulté de tout, le processus de connexion est aussi simplifié que possible.
Cela semble être une situation gagnant-gagnant. Malheureusement, ce n’est pas sans ses limites.
Nous n'en sommes pas encore là
Il existe quelques problèmes de compatibilité plutôt flagrants. D'une part, Google est celui qui développe la technologie, ce qui signifie que pour le moment, elle n'est disponible que sur les appareils Android et fonctionne uniquement avec Google Chrome. Ça signifie alors que les millions de personnes utilisant des iPhones, des téléphones Android plus anciens et d'autres navigateurs n'auront pas la chance de pouvoir en profiter.
De plus, pour que la clé de sécurité fonctionne, il faut activer le Bluetooth sur le smartphone et sur l'appareil que vous utilisez pour vous connecter à votre compte Google. Vous éprouvez d'importantes difficultés à trouver un ordinateur portable qui ne prend pas en charge Bluetooth, mais avec les ordinateurs de bureau, les choses sont un peu différentes. Bien sûr, vous pouvez toujours acheter un dongle Bluetooth, mais cela pose un problème similaire à celui auquel nous sommes confrontés par rapport aux jetons U2F: l’argent.
En parlant de cela, nous avons déjà signalé que la perte de jetons U2F pourrait causer des problèmes, et nous pouvons imaginer qu'il en va de même pour les smartphones avec des clés de sécurité activées.
En gros, la nouvelle fonctionnalité de Google n'est donc pas parfaite. Il est cependant plus convivial et sécurisé que ce que nous avons déjà. Par conséquent, si vous avez un smartphone Android relativement récent, il est conseillé d’activer la clé de sécurité. Google a ajouté des instructions sur la procédure ici.
