Plus tôt cette semaine, le développeur australien Chris Lacy a tweeté à propos d’une expérience curieuse en se connectant à un compte Google rarement utilisé. Lorsque Google a envoyé son code d’authentification à deux facteurs par SMS, le message est apparu avec une annonce comprenant un lien pour les services VPN. Compte tenu des inconvénients de l’hameçonnage ou de la distribution de logiciels malveillants attachés à un code spécifiquement destiné à sécurise votre compte, ça ne s’est pas bien passé.
Alors que Lacy n’a pas nommé le transporteur qui a livré le texte, le directeur principal de Google Identity and Security, Mark Risher clarifié que l’annonce ne provenait pas de son entreprise.
La déclaration officielle de Google à ce sujet est que « Ce ne sont pas nos annonces et nous travaillons actuellement avec l’opérateur sans fil pour comprendre pourquoi cela s’est produit. » L’application Messages sur Android n’affichait pas d’aperçu, le signalant comme un spam possible, mais il s’agit d’une implémentation loin d’être idéale de l’authentification à deux facteurs.
9to5Google fait remarquer qu’au moins dans certains pays, Google utilise SMS vérifié pour authentifier et sécuriser les messages, mais il n’est pas clair si cela serait possible ici. Je n’ai jamais vu de spam lié à la vérification sur les textes, mais jusqu’à ce que le RCS et le cryptage de bout en bout soient répandus, ce n’est qu’une raison de plus d’opter pour des générateurs de code, des clés matérielles ou des notifications push pour la sécurité de connexion au lieu d’un texte .