Google a annoncé lundi une nouvelle méthode pour sécuriser l'accès aux comptes Google, dont Gmail, grâce à la validation en deux étapes. Jusqu'à présent, ceux qui activaient cette méthode devaient saisir leur mot de passe puis un code unique reçu sur un téléphone mobile (par SMS, messagerie vocale ou application mobile). Désormais, il sera aussi possible d'insérer une clé USB pour confirmer à Google que l'on est bien le titulaire du compte.
La firme de Mountain View a en effet ajouté le support des "clés de sécurité" qui utilisent le standard FIDO Universal 2nd Factor (U2F). Il s'agit de clés physiques sur lesquelles sont inscrites une clé sécurisée associée aux comptes qui la reconnaissent.
Lors de l'enregistrement sur un service compatible comme Google, la clé de sécurité crée une nouvelle paire de clés stockée en mémoire. La clé publique est envoyée au service, tandis que la clé privé reste dans la clé USB. Au moment de l'authentification, le service demande au client un message de confirmation qui n'est déchiffrable avec la clé publique que s'il a été chiffré par la clé privée stockée dans la clé FIDO.
S'agissant d'un standard, les clés de sécurité FIDO U2F sont reconnues par tous les prestataires de services qui utilisent cette norme. Si Google est le premier des géants du Web à l'adopter, d'autres devraient rapidement suivre. Le standard a été élaboré par l'Alliance Fast IDentity Online (FIDO), qui regroupe des géants comme Google, Lenovo, PayPal, LG ou BlackBerry. C'est aussi ce standard qui est utilisé avec la biométrie, notamment pour les lecteurs d'empreintes sous Android. Hélas, Apple a choisi son propre standard propriétaire pour Touch ID, ce qui obligera les développeurs à proposer les deux types d'authentification renforcée.
Avec la méthode traditionnelle du code de vérification, "des pirates disposant de méthodes perfectionnées peuvent créer des sites imitant ceux de Google, sur lesquels vous êtes invité à fournir vos codes de validation", explique Google. "La clé de sécurité offre un niveau de protection supplémentaire contre ce type d'attaque. En effet, cette fonctionnalité utilise la cryptographie à la place des codes de validation et ne fonctionne automatiquement qu'avec le site auquel elle est destinée".
En France, Amazon ne semble en référencer qu'un seul modèle, vendu à 5,99 euros (produit en France). Il en existe toutefois d'autres modèles, à des prix très variables, dont certains qui fonctionnent également en NFC pour être utilisés avec un smartphone.
La méthode ne fonctionne pour le moment qu'avec Chrome 38 ou supérieur. En cas de besoin, il reste possible d'utiliser un code de validation sur un appareil qui ne gère pas la clé de sécurité au standard FIDO.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !