Authentification en deux étapes : Google ne veut plus du SMS

Le par  |  13 commentaire(s) Source : BleepingComputer
Google-logo

La sécurisation des comptes est devenue une priorité pour les géants du Web ces dernières années et Google annonce avoir renforcé son authentification en deux étapes.

L'authentification forte, ou à deux étapes représente sans conteste l'une des solutions les plus fiables pour sécuriser un compte utilisateur actuellement. Son fonctionnement repose comme son nom l'indique sur une double authentification : un login et mot de passe d'un côté associé à un code unique généré au moment de l'identification et communiqué à l'utilisateur par SMS.

GooglePrompt

Malheureusement, la réception de SMS peut être compromise par les pirates, Google souhaite donc ne plus faire reposer la sécurité des comptes de ses utilisateurs sur cette technologie. Récemment, il a été démontré que des pirates étaient parvenus à exploiter une faille du protocole de signalisation SS7 exploité par les opérateurs de téléphonie afin de récupérer des SMS de confirmation d'identité émanant de banques pour vider les comptes de certains utilisateurs allemands.

À la place, d'un SMS, l'utilisateur devrait recevoir une notification sur son smartphone prenant la forme d'une boite de dialogue l'invitant simplement à valider son identité en tapant sur son écran. Pas de code ou de mot de passe, un simple bouton à appuyer, et l'accès est autorisé.

Il faudra disposer d'un smartphone connecté à Internet pour profiter de cette option. Sous iOS, il faudra également installer une application dédiée.

L'option ne sera pas activée par défaut et les utilisateurs pourront continuer à miser sur les SMS pour valider leur identité. Google devrait néanmoins proposer cette nouvelle forme d'authentification forte de façon progressive dans les semaines qui viennent.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1973638
Google a t-il pensé aux clients d'Afrique?
Le #1973639
Quel est le rapport ?
Le #1973643
Euh... étant donné que tout est piratable et surtout les smartphones je ne vois pas en quoi ce serait plus fiable.

Cest une question de temps pour que les pirates trouvent un moyen de Hacker l'utilisateur cible même s'il passe par l'appli Google.

Bref.
Le #1973644
sandramcc a écrit :

Euh... étant donné que tout est piratable et surtout les smartphones je ne vois pas en quoi ce serait plus fiable.

Cest une question de temps pour que les pirates trouvent un moyen de Hacker l'utilisateur cible même s'il passe par l'appli Google.

Bref.


Entre scanner tous les SMS d'un opérateur et cibler 1 smartphone pour le hacker, il y a une grande différence.
Il faut savoir qui correspond à quelle CB et ça me paraît plus difficile.

Après je peux me tromper mais dans ce cas j'attends des explications.
Le #1973653
Le SMS doit coûter cher aussi
Le #1973654
sandramcc a écrit :

Euh... étant donné que tout est piratable et surtout les smartphones je ne vois pas en quoi ce serait plus fiable.

Cest une question de temps pour que les pirates trouvent un moyen de Hacker l'utilisateur cible même s'il passe par l'appli Google.

Bref.


C'est toujours la même chose, il s'agit pas d'une méthode infaillible (cela n'existe pas) mais plutôt d'apporter une sécurité supplémentaire.

Un sms c'est interceptable ou il peut être lu depuis le smartphone sans problème et dépend uniquement de la sécurité d'accès au smartphone lui même (code,pin,schéma,emprunte etc ...) qui en général est soit assez simple soit piratable par des méthodes extrêmement simple rependu sur le net en fonction de l'OS et de la version de celui-ci. Alors que l'accès à une application elle même sécurisée par une authentification forte là c'est pas la même histoire.

Le système d'authentification à deux étapes de Steam est un bel exemple, il faut avoir accès au smartphone + passer la première sécurité pour le débloquer, avoir accès à l'application sécurisée qui est liée uniquement au compte par rapport au numéro de téléphone et génère un code unique toutes les 10 secondes qu'il faudra entrer conjointement sur Steam tout en ayant bien sur autorisé l'IP du PC à se connecter au service steam par mail. Si avec ca tu arrives à passer aussi facilement qu'avec un SMS, alors franchement chapeau.
Le #1973657
tonio1987fr a écrit :

Le SMS doit coûter cher aussi


Les types viennent d'échappé au milliard et demi d'amende c'est dire le pognon que brasse le méga groupe international donc tu penses bien qu'envoyer des SMS ca leur fait pas vraiment peur Surtout que l'infrastructure, le développement et le support de ce système coûterait bien plus cher que d'envoyer un simple SMS
Le #1973660
Ça veut certainement dire qu'il faudra obligatoirement avoir les Services Google installés sur son téléphone (oui c'est le as pour la majorité des gens, mais les autres ?).
Quand je tente une connexion depuis un autre téléphone et via VPN, je reçois une notification, j'ai vu qu'elle était gérée par un Service Google, ça veut dire que si je les enlève sur mon prochain téléphone je n'aurais plus accès à ça et à ce qu'ils proposent ?
Le #1973667

À la place, d'un SMS, l'utilisateur devrait
recevoir une notification sur son
smartphone prenant la forme d'une boite
de dialogue l'invitant simplement à valider
son identité en tapant sur son écran.



C'est déjà en place il me semble non ?

Habituellement, je ne fais pas de double authentification car je tiens à préserver mon numéro de smartphone, mais je me suis résigné à le faire pour mon compte Youtube (j'ai quand même 186 vidéo monétisées que je n'ai pas envie de perdre).

Pour l'instant ça va, pas de publicité sur mon smartphone.
Le #1973669
tonio1987fr a écrit :

Le SMS doit coûter cher aussi


2 centimes euros unité
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]