Une forme avancée d’authentification à deux facteurs
Google a annoncé aujourd’hui que tout téléphone équipé d’Android 7 ou version ultérieure pouvait désormais être utilisé comme clé de sécurité physique pour l’authentification à deux facteurs. Cela vous permettait de vous connecter à Google Apps de manière encore plus sécurisée que plusieurs autres méthodes 2FA existantes proposées par Google. Ainsi, lorsque vous souhaitez que votre périphérique soit vérifié par votre appareil physique, vous n’avez pas besoin d’acheter un dongle, vous pouvez simplement utiliser votre téléphone.
Pour que votre téléphone Android soit la clé de sécurité, il vous suffit de connecter votre téléphone via Bluetooth à un navigateur Chrome pour vérifier les informations de connexion. (Certains ordinateurs de bureau plus anciens ne disposent pas de Bluetooth, mais ils sont assez universels sur les ordinateurs portables.) Le nouveau schéma d’authentification fonctionne avec Gmail, G Suite, Google Cloud et tout autre service de compte Google et utilise la norme d’authentification FIDO. Selon Google, d’autres sites web pourraient s’y joindre ultérieurement, mais il est toujours en train de certifier son service d’authentification.
L’authentification à deux facteurs peut aider à empêcher les connexions non autorisées si quelqu’un obtient votre mot de passe, ce qui est important lorsque des fuites et des attaques d’hameçonnage peuvent mettre les comptes en danger. Google recommande à chacun d’utiliser son téléphone comme clé de sécurité, mais plus particulièrement aux « journalistes, activistes, dirigeants d’entreprise et équipes de campagne politique exposés au risque d’attaques en ligne ciblées ».
Les méthodes d’authentification à deux facteurs ne sont pas toutes sécurisées de la même manière et Google en a toujours proposé une multitude : des codes de vérification SMS, les codes rotatifs de Google Authenticator et des invites Google, qui permettent à votre téléphone Android et aux services Google de communiquer directement entre eux via Internet. La nouvelle option de clé de sécurité physique fonctionne de manière très similaire aux invites de Google, mais elle nécessite désormais que votre téléphone soit physiquement à proximité de votre ordinateur, afin de déjouer ceux qui pourraient tenter d’usurper votre compte depuis l’autre bout du monde.
Il utilise également une paire de protocoles d’authentification, FIDO et WebAuthn, pour vérifier que vous êtes bien sur le site web ou que vous ne soyez pas hameçonné.
L’installation prend quelques étapes
Pour activer votre téléphone Android en tant que clé de sécurité, vous avez besoin uniquement d’un téléphone fonctionnant sous Android 7 ou version ultérieure et d’un navigateur Chrome séparé pouvant être ouvert sur un appareil Chrome OS, macOS ou Windows 10. Tout d’abord, connectez-vous à votre compte Google sur un téléphone Android et activez Bluetooth. Ouvrez ensuite myaccount.google.com/security dans Chrome sur votre deuxième appareil, puis appuyez sur «vérification en deux étapes». Sélectionnez l’option permettant d’ajouter une clé de sécurité et choisissez votre téléphone dans la liste des appareils.
Si vous utilisez un Pixel 3, vous pourrez utiliser le bouton de réduction du volume pour activer votre clé de sécurité, car Google indique qu’il stocke les informations d’identification FIDO dans la puce Titan M de Pixel. Cela permet de vérifier que les pressions exercées sur les boutons sont légitimes. D’autres périphériques Android 7 ou version ultérieure peuvent toujours être utilisés comme méthodes d’authentification à deux facteurs, mais ils devront se connecter et appuyer sur un bouton.
Pour le moment, le service est uniquement disponible sur les téléphones Android et uniquement pour les connexions aux services Google et non à des sites tiers. Google affirme que, puisque la nouvelle technologie utilise les mêmes protocoles, y compris les normes FIDO, qu’une clé de sécurité physique, il ne s’agit que d’une question de temps avant que d’autres sociétés mettent en œuvre une technologie similaire. Outre Chrome, d’autres navigateurs pourraient bénéficier d’une assistance, et d’autres services pourraient évoluer de manière à utiliser les téléphones Android comme clés de sécurité. Google assure être en train de travailler à cet objectif.
