Plus de 150 millions d’utilisateurs de Google ont vu leurs risques de compromis diminuer de moitié suite à l’adoption de la vérification en deux étapes, un processus dans lequel les utilisateurs se connectant à un service Google seront invités à répondre à une notification push envoyée à un deuxième appareil, le société a déclaré aujourd’hui.

Le résultat est un signe précoce que les efforts de Google pour renforcer la sécurité globale de sa base d’utilisateurs et protéger les comptes contre les compromis portent leurs fruits. Au cours des six derniers mois environ, Google a activé le contrôle de sécurité supplémentaire pour 150 millions d’utilisateurs précoces utilisant ses services et 2 millions de créateurs YouTube supplémentaires, dont les comptes sont particulièrement précieux, selon le message.

La société continuera de basculer tous les comptes protégés uniquement par un nom d’utilisateur et un mot de passe vers la vérification en deux étapes (2SV) et offrira également plus d’options de sécurité, a déclaré Guemmy Kim, directeur de la sécurité et de la sûreté des comptes chez Google.

« Une fois que les utilisateurs sont en 2SV, il existe des options pour que les seconds facteurs deviennent encore plus sécurisés. Par exemple, les invites Google et les clés de sécurité offrent une protection encore meilleure, et les utilisateurs peuvent » mettre à niveau « à tout moment », dit-elle. « Pour le moment, il est important pour nous d’inciter les utilisateurs à commencer au moins avec 2SV. »

L’élimination de la dépendance aux mots de passe est un effort de plus en plus important de la part des fournisseurs de services et des entreprises de sécurité, d’autant plus que de plus en plus d’employeurs ont adopté le travail à distance pendant la pandémie, laissant un simple nom d’utilisateur et un mot de passe comme clé pour entrer dans le réseau d’une entreprise. Les efforts déployés pour éduquer les gens sur les inconvénients des mots de passe en matière de sécurité et sur les avantages des multiples facteurs d’authentification commencent à porter leurs fruits, en particulier chez les jeunes utilisateurs. Plus des deux tiers des habitants des États-Unis ont utilisé l’authentification à deux facteurs en 2021, contre 28 % en 2017. Près de 80 % des travailleurs utilisent régulièrement une certaine forme de technologie.

Microsoft sur MFA

Google n’est pas la seule entreprise à a documenté le succès d’utiliser un deuxième facteur pour authentifier les utilisateurs. Dans un 2019, Microsoft a cité des recherches qui suggéraient que presque toutes les victimes de compromis réussis n’avaient pas d’authentification à deux facteurs sur leurs comptes.

« [O]L’une des meilleures choses que vous puissiez faire est d’activer simplement MFA [multifactor authentication] », Melanie Maynes, responsable senior du marketing produit chez Microsoft Security, écrit dans un article de blog. « En fournissant une barrière et une couche de sécurité supplémentaires qui rendent incroyablement difficile le passage des attaquants, la MFA peut bloquer plus de 99,9 % des attaques par compromission de compte. »

Pourtant, de nouvelles données du service Azure Active Directory de Microsoft montrent que seulement environ 22 % des organisations avec Microsoft Active Directory (AD) utilisent MFA pour leurs comptes d’utilisateurs.

L’ajout de la vérification en deux étapes et d’autres formes de MFA signifie que la récupération de compte devient le prochain casse-tête du support et un vecteur potentiel d’attaques. Pour cette raison, Google a déployé des efforts supplémentaires pour inciter les utilisateurs à entrer des numéros de téléphone et d’autres moyens de les contacter, explique Kim.

« Il y a beaucoup d’éducation à faire avec 2SV et nous voulons que les utilisateurs comprennent ce que c’est et pourquoi c’est bénéfique », dit-elle. « Nous devons également nous assurer que les comptes des utilisateurs sont correctement configurés avec un e-mail et un numéro de téléphone de récupération afin qu’ils puissent éviter les verrouillages de compte une fois la 2SV appliquée. »

La réduction de 50 % des compromis réussis cités par Google ne compare pas deux populations mais l’amélioration constatée par les utilisateurs une fois qu’ils ont adopté la 2SV, explique Kim, qui a souligné que l’amélioration n’est pas nécessairement un « taux de réussite ».

« Le point de données n’est pas une comparaison individuelle », dit-elle. Ces premiers utilisateurs, par exemple, pourraient être des utilisateurs plus soucieux de la sécurité et ont déjà été plus résistants aux attaques, ce qui suggère que les utilisateurs ultérieurs en bénéficieront davantage. « Nous nous attendons à ce que les cohortes d’utilisateurs ultérieures soient encore mieux protégées qu’elles ne l’étaient auparavant, car nous continuons à inscrire automatiquement les utilisateurs en 2SV. »

Google a l’intention de continuer à pousser la vérification en deux étapes comme barre minimale pour ses utilisateurs, a déclaré Kim.

« En 2022, nous continuerons d’inscrire automatiquement les personnes et de travailler à élargir le réseau en introduisant des technologies qui rendent la 2SV plus accessible à tous », dit-elle. « Nous encourageons également activement les utilisateurs à franchir cette première étape en fournissant leur numéro de téléphone ou leur adresse e-mail de récupération, pour nous permettre de les protéger beaucoup mieux, notamment en activant la 2SV. »

Kim a également exhorté les utilisateurs à utiliser la fonction de vérification de la sécurité du service pour s’assurer qu’ils ont pris toutes les mesures recommandées pour verrouiller leurs comptes.