Google Workspace a annoncé aujourd'hui une série de nouvelles mesures de sécurité, y compris une couche supplémentaire de confirmation « Vérifiez qu'il s'agit bien de vous » lorsque vous effectuez quelque chose de sensible dans Gmail.

Les actions sensibles dans Gmail se répartissent en trois catégories :

• Filtres: Création d'un nouveau filtre, modification d'un filtre existant ou importation de filtres.
• Expéditeur: Ajout d'une nouvelle adresse de transfert à partir des paramètres de transfert et POP/IMAP.
• Accès IMAP: Activation du statut d'accès IMAP à partir des paramètres.

Chacun peut être utilisé pour permettre à un tiers malveillant d'accéder aux e-mails à votre insu, Google Security Checkup affichant déjà un avertissement concernant le transfert.

Google « évaluera la session tentant l'action, et si elle est jugée risquée, elle sera contestée avec une invite « Vérifiez que c'est vous ». » Pour confirmer que c'est bien le propriétaire du compte qui tente d'effectuer l'action sensible, l'utilisateur devra effectuez une vérification en deux étapes (2SV) ou une autre méthode de deuxième facteur/facteur de confiance.

Si la vérification échoue ou n'est pas terminée, l'utilisateur recevra une « alerte de sécurité critique » sur les appareils de confiance pour contrer la tentative et verrouiller les comptes.

« Vérifiez qu'il s'agit bien de vous » pour Gmail sera disponible pour tous les comptes Google personnels et les clients Workspace. Dans ce dernier cas, Google doit être le fournisseur d’identité, SAML n’étant pas pris en charge « pour le moment ». Son déploiement commence aujourd'hui :

En savoir plus sur Gmail :