Cette semaine, Google a fait des efforts pour augmenter la protection des comptes en ligne, en annonçant sa propre clé de sécurité physique.
Annoncées lors de la conférence Cloud Next de Google, les clés Titan sont une solution d’authentification à deux facteurs (2FA), conçue pour lutter contre l’une des formes les plus répandues d’attaques en ligne : le piratage de compte. Sans 2FA, les cybercriminels qui devinent ou volent le mot de passe d’une personne peuvent l’utiliser pour se connecter et usurper leur identité.
Avec 2FA, les personnes accédant à un compte doivent prouver qu’elles sont autorisées à utiliser le périphérique qu’elles possèdent physiquement (ou une fonctionnalité physique comme une empreinte digitale) pour se connecter.
Google avait annoncé plus tôt cette semaine qu’il avait empêché les cybercriminels d’accéder à l’ensemble des comptes de ses 85 050 employés depuis qu’il avait commencé à utiliser, en interne, des clés de sécurité physiques en 2017. Il semble maintenant vouloir étendre ces avantages à ses utilisateurs.
Il existera deux versions de la clé de sécurité Google : une clé USB qui se branche sur votre ordinateur et une clé Bluetooth qui doit être jumelée avec un appareil avant utilisation, et destinée aux utilisateurs d’appareils mobiles. Ils seront tous deux conformes à la norme d’authentification Fast IDentity Online (FIDO), les rendant ainsi compatibles avec de nombreux autres sites, au-delà de ceux de Google.
Google protège les personnes avec un accès 2FA depuis des années via son application Authenticator, lancée en 2010. Ces nouvelles clés de sécurité offriront aux utilisateurs un moyen plus simple de sécuriser leurs comptes, car ils n’auront à saisir aucun code.
Titan sera-t-il suffisant pour soutenir l’adoption relativement faible du 2FA ? Une étude menée en 2016 par l’Université du Maryland et Johns Hopkins sur un peu plus de 500 utilisateurs a révélé que seulement un utilisateur sur quatre utilisait le 2FA sur tous ses appareils, tandis que 45% l’utilisaient au niveau de certains services, mais pas sur d’autres. Parmi ces derniers, 68% ont déclaré qu’ils l’utilisaient principalement lorsqu’ils n’avaient pas le choix, indiquant que de nombreux utilisateurs ne mesurent toujours pas l’importance de prendre leur propre sécurité en main, ou ne comprennent pas les risques et les avantages.
Sur cette base, alors que cette clé de sécurité sera disponible pour tout le monde, ne vous attendez pas à ce que les utilisateurs affluent en masse. Elle sera plus utile à ceux qui ont le plus à perdre. Google le reconnaît sur la page de son produit Clé de sécurité, où il est indiqué que :
Bien que les clés de sécurité soient recommandées à tous les utilisateurs pour une meilleure protection contre le phishing, l’utilisation de clés de sécurité par les administrateurs et d’autres utilisateurs sensibles devrait être une première étape incontournable.
Google a progressivement renforcé ses mesures de sécurité concernant les connexions aux comptes. En 2017, il a remplacé les codes SMS par des invites sur smartphones dans le cadre de son processus de vérification en deux étapes, après que le National Institute of Standards and Technology (NIST) ait désapprouvé le système 2FA basé sur SMS.
Les clés Titan seront en concurrence directe avec celles produites par Yubico, qui a également participé à la conférence Cloud Next. Yubico, qui a confirmé qu’il ne fabriquera pas les clés Titan pour Google, a également déclaré qu’il avait envisagé une version Bluetooth, mais avait ensuite abandonné ce projet.
Alors que Yubico a déjà démarré le développement d’une clé de sécurité BLE, et a contribué au travail de normalisation de BLE U2F, nous avons décidé de ne pas lancer le produit car il ne répond pas à nos normes de sécurité, d’utilisabilité et de durabilité. BLE ne fournit pas les niveaux de garantie en matière de sécurité NFC et USB, et nécessite des piles et un jumelage qui offrent une expérience utilisateur plutôt médiocre.
Hasard ou coïncidence, la sécurité du protocole Bluetooth a été critiquée cette semaine. Un bug dans le protocole permet potentiellement à des pirates, se trouvant à proximité d’une communication Bluetooth, d’espionner des échanges, bien que de nombreux fournisseurs aient déjà résolu le problème.
Billet inspiré de Google takes on Yubico with its own security key, Titan, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.