Des téléphones Android transformés en jetons de sécurité anti-hameçonnage

Mobilité

Google vient d’annoncer une nouvelle fonctionnalité de sécurité qui permet aux utilisateurs d’Android 7 et des versions ultérieures d’utiliser leurs smartphones pour s’authentifier au niveau de leurs comptes Google.

jeton de securite

L’annonce surprise s’est retrouvée enfouie au sein d’une longue liste d’améliorations dédiées aux professionnels et révélée récemment lors du Google Cloud Next 2019 à San Francisco.

Publiée dans sa version bêta, cette fonctionnalité est conçue pour protéger les utilisateurs de Google vis-à-vis d’attaques de phishing (hameçonnage). Une fois activé, l’utilisateur se connecte à son compte Google en utilisant son nom d’utilisateur et son mot de passe comme d’habitude avant de déclarer que son smartphone Android, inscrit au préalable, est bien présent en cliquant sur un message qui apparaît à l’écran.

Cette manœuvre est en principe identique à l’utilisation d’un jeton USB FIDO tel que le YubiKey (ou l’équivalent Titan de Google lancé l’année dernière), à ​​la différence que les smartphones ici deviennent eux-mêmes des jetons de sécurité.

Cette technique élimine l’hameçonnage de la même manière que les jetons de sécurité classiques, car même si les attaquants parviennent à obtenir le nom d’utilisateur et le mot de passe Google d’une personne en particulier, ils ne peuvent pas accéder au compte sans leur smartphone.

Les prérequis

Pour utiliser vos téléphones Android (les tablettes ne semblent pas encore être prises en charge) en tant que jetons de sécurité, vous devez disposer d’un téléphone fonctionnant sous Android version 7.x ou ultérieure et avoir activé le Bluetooth.

Votre ordinateur doit également disposer du Bluetooth et utiliser la dernière version du navigateur Chrome sur un ordinateur Chrome OS, macOS X ou Windows.

Comment l’activer

Depuis le centre d’aide de Google :

Étape 1 : ajoutez la clé de sécurité à votre compte Google.

  1. Activez la vérification en deux étapes et ajoutez une méthode de vérification telle que Google Prompt.   a. Si vous utilisez déjà la vérification en deux étapes, vous pouvez continuer.
  2. Sur votre téléphone Android, accédez à myaccount.google.com/security.
  3. Sous “Se Connecter à Google”, sélectionnez Vérification en deux étapes. Vous devrez peut-être vous connecter.
  4. Faites défiler jusqu’à “Configurer une deuxième étape alternative”.
  5. Sélectionnez Ajouter une clé de sécurité > Votre téléphone Android > Activer.

Étape 2: utilisez la clé de sécurité intégrée de votre téléphone Android :

  1. Sur votre ordinateur, assurez-vous que le Bluetooth est activé dans vos paramètres ou préférences.
  2. Sur votre ordinateur, connectez-vous à votre compte Google avec votre nom d’utilisateur et votre mot de passe.
  3. Vérifiez que vous avez reçu une notification sur votre téléphone Android.
  4. Sur votre téléphone Android, appuyez deux fois sur la notification “Voulez-vous vous connecter?”.

Comment cela fonctionne ?

Le blog de Google sur le sujet aborde peu de détails techniques, mais nous pouvons supposer en toute confiance qu’il s’agira du mariage prévu des protocoles FIDO2 récemment ajoutés à Android et de la norme d’authentification WebAuthn plus large.

Pour simplifier, les navigateurs prenant en charge WebAuthn communiquent en toute sécurité avec le serveur, en l’occurrence celui de Google, en vérifiant leur authenticité. Le protocole FIDO2, quant à lui, gère la partie où l’ordinateur et le smartphone communiquent pour vérifier que l’utilisateur dispose réellement du smartphone.

Ce dernier utilise le protocole CTAP (Client to Authenticator Protocol) de FIDO2, qui effectue l’authentification avec le smartphone via Bluetooth.

Un rapport issu de l’événement Google Cloud Next 2019 mentionne également un élément appelé “Bluetooth Low Energy (caBLE)“. Cette nouvelle méthode n’est pas encore très claire, mais il se pourrait qu’il s’agisse du prochain ajout de Google à la norme FIDO2, qui ajoute des contrôles de sécurité supplémentaires.

Que se passe-t-il si vous perdez ou n’avez pas votre smartphone? Dans ce cas, vous devez soit activer l’application Authenticator en tant que solution de secours, soit disposer d’une clé de sécurité (la YubiKey ou Titan), soit avoir noté les codes de sécurité de sauvegarde que Google vous permet de télécharger et d’imprimer.


Billet inspiré de Android phones transformed into anti-phishing security tokens, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.