Google a finalement avoué un comportement alarmant à propos du milliard d’utilisateurs réguliers de Gmail dans le monde : à savoir que rare sont ceux qui ont activé la validation en deux étapes (2SV) pour sécuriser leur compte.
7 années après la première apparition de la validation en deux étapes, le taux d’activation de cette option de sécurité reste inférieur à 10%, a déclaré l’ingénieur Grzegorz Milka lors d’une conférence sur la sécurité d’Enigma 2018 Usenix.
Milka a poursuivi en mentionnant une étude commandée par Google en novembre qui analysait comment les cybercriminels ciblaient Gmail, et pourquoi ces comptes étaient devenus des cibles privilégiées. Une façon de dire que l’entreprise n’était pas satisfaite de ce statu quo.
On pourrait discuter le fait que “moins de 10%” soit si mauvais que cela, à savoir environ des dizaines de millions de comptes, mais ce qui est clair, c’est que depuis 2011 Gmail compte beaucoup de nouveaux utilisateurs, mais peu de nouveaux adeptes de la validation en deux étapes.
L’importance d’utiliser la validation en deux étapes (une forme d’authentification multi-facteurs ou MFA) avec Gmail et d’autres sites, a été un thème récurrent sur notre blog sécurité depuis un certain temps. La mise en place est aisée, cela ne coûte rien, et surtout, elle permet d’élever le niveau de protection vis à vis d’éventuels cybercriminels.
Pourquoi donc, les utilisateurs de Gmail ne sont-ils pas plus intéressés ?
Milka a donné un indice quand on lui a posé la question, c’est sans aucun doute une très bonne idée, mais Google ne rend pas son utilisation obligatoire:
Il s’agit du nombre de personnes que nous perdrons si nous les obligions à utiliser une sécurité supplémentaire.
Il semble que les gens aient suffisamment de difficultés avec les mots de passe pour que la mise en place d’une autre couche de sécurité, via la 2SV, les dégoûtent complètement.
La prudence de Google est compréhensible mais bien trop pessimiste. Le vrai problème, avec la validation en deux étapes, n’est pas sa complexité, car c’est en fait très simple, mais plutôt le fait que les gens n’en ont pas entendu parler, ou si c’est le cas, sont perdus avec les nombreuses manières de l’utiliser via les différents services.
Avec Gmail, pour commencer il faut effectuer le “Contrôle de sécurité” dans les paramètres du compte Google, qui indique à l’utilisateur s’il a activé ou non la fonction 2SV.
Si la réponse est non, alors l’option la plus ancienne pour l’ajouter est par SMS, qui envoie des codes à usage unique chaque fois qu’un utilisateur se connecte. Beaucoup de sites, y compris Google, offrent encore cette option mais elle n’est plus considérée comme sécurisée du fait des attaques telles que la fraude SIM-Swap.
Récemment, Google a commencé à inciter les utilisateurs à utiliser le système appelé Google Prompt, qui vérifie les connexions avec une simple question de type “oui/non” envoyée sous forme de notification push aux appareils Android et iOS, via la couche logicielle propre à Google.
Une option exigeant davantage d’implication, mais qui est aussi polyvalente, consiste à télécharger l’application Google Authenticator, qui génère des codes à usage unique sans que ces derniers aient besoin d’être envoyés via un réseau public. Authenticator fonctionne également avec des services tiers tels que WordPress, LastPass et Facebook.
L’option la plus sécurisée est d’utiliser un jeton hardware tel que le YubiKey U2F connecté USB. L’inconvénient est en partie le coût (environ 12€), et le fait que les smartphones nécessitent des jetons séparés avec une compatibilité NFC.
Les utilisateurs Gmail qui croient être particulièrement ciblés par des cybercriminels peuvent rejoindre l’Advanced protection Program (APP), un service gratuit qui impose des vérifications supplémentaires lors de l’accès aux comptes. Ces contrôles additionnels sont recommandés si vraiment une telle mise œuvre, parfois fastidieuse, est justifiée.
Vous comprenez à présent le problème ? Trop de choix ! Mais mieux vaut en avoir trop que de continuer à utiliser un service en ligne sans aucune forme de protection du type MFA, et mettre en danger un utilisateur averti !
Billet inspiré de 90% of Gmail users could improve their security easily, but don’t, sur Sophos nakedsecurity.