Alors que l’événement annuel de la Journée mondiale du mot de passe est rapidement oublié (c’était le 6 mai si vous l’avez manqué), il a eu un moment mémorable grâce à une apparemment modeste Message de blog Google. Mark Risher, directeur de la gestion des produits, de l’identité et de la sécurité des utilisateurs chez Google, a écrit sur la gestion des mots de passe. Cependant, il a également révélé une décision qui rendra soudainement des millions de comptes Gmail beaucoup plus sécurisés.
Je ne suis pas fan du jour des mots de passe, car la prise de conscience de l’importance de l’hygiène des mots de passe, de la sélection à l’utilisation, doit être un processus de 365 jours par an. En effet, il y a un argument à faire pour peut-être le remplacer par « World 2FA Day » pour pousser la nécessité d’une authentification à deux facteurs (2FA) comme couche de sécurité supplémentaire en plus des mots de passe de votre compte.
C’est là que Google est intervenu cette année et a annoncé qu’il « commencerait à inscrire automatiquement les utilisateurs en 2SV » ou à la vérification en deux étapes qui, pour des raisons de simplicité, peut être considérée comme la même chose que 2FA ici. Bien que certains des 1,5 milliard d’utilisateurs de Gmail aient déjà activé 2FA, Google en fera la valeur par défaut pour des millions d’autres.
Prendre le contrôle d’un compte Gmail est un prix extrêmement précieux pour tout cybercriminel, car les informations stockées peuvent ouvrir la porte à de nombreux autres comptes. En effet, avec une visibilité sur les boîtes de réception, cet attaquant peut utiliser la fonction de réinitialisation du mot de passe pour établir rapidement de nouveaux mots de passe et verrouiller le propriétaire légitime d’un compte suffisamment longtemps pour faire beaucoup de dégâts. À moins que ce ne soit le cas, le compte était davantage protégé par un deuxième facteur de vérification nécessaire en plus des informations d’identification du nom d’utilisateur et du mot de passe.
Dans le cas des comptes Google, la méthode par défaut consiste à envoyer une invite sur votre téléphone. Vous l’avez physiquement, et le pirate ne l’a pas, et un seul clic suffit pour authentifier votre connexion. Vous pouvez également choisir d’utiliser une application d’authentification ou une clé de sécurité matérielle. J’utilise 2FA avec Google depuis 2014, et le minimum d’inconvénients est plus que compensé par la sécurité accrue du compte qu’il apporte à la table. Faire de 2FA la valeur par défaut lorsque cela est possible est, à mon avis jamais humble, un grand pas.
Cependant, il y a un hic de nature pratique: il ne s’appliquera qu’aux utilisateurs dont les comptes sont déjà «correctement configurés». J’ai contacté Google pour obtenir des précisions sur ces exigences. « Par correctement configuré, nous entendons les utilisateurs qui se connectent régulièrement à leur compte et interagissent avec les produits Google sur leurs appareils mobiles », m’a dit Mark Risher, « et qui ont des informations de récupération sur leurs comptes, comme un numéro de téléphone de récupération et / ou e-mail de secours. »
Sean Wright, responsable de la sécurité des applications PME chez Immersive Labs, dit qu’il comprend que cette décision va probablement frustrer certains utilisateurs, mais pense que c’est néanmoins une bonne décision de Google. «Un mouvement vers la sécurité comme étant la valeur par défaut», dit-il, ajoutant que les individus doivent pouvoir «décider s’ils veulent accepter le risque et le désactiver». Wright a également lancé un avertissement à Google pour qu’il « communique clairement ce changement et pas seulement le changement sans en informer les utilisateurs. Cela se terminera probablement par beaucoup de confusion et beaucoup plus de frustration ».
Risher m’assure que les comptes sélectionnés seront ceux qui sont «dans une position où le passage à la 2SV ne sera pas perturbateur et offrira une meilleure protection». Il a également confirmé que les utilisateurs pourraient se retirer de l’inscription s’ils le souhaitent. Le fonctionnement exact de tout ce processus d’inscription n’est pas encore clair, mais nous verrons bien assez tôt.
«Nous avons commencé à inscrire automatiquement un petit groupe d’utilisateurs», déclare Risher, «nous allons étendre ce pool au cours des prochains mois». Cela ne signifie pas que les utilisateurs se retrouvent incapables d’accéder à leur compte Gmail ou Google. «Davantage de facteurs signifient une protection plus forte, mais nous devons nous assurer que les utilisateurs ne sont pas accidentellement exclus de leurs comptes», déclare Risher, «c’est pourquoi nous commençons par les utilisateurs pour lesquels ce sera le changement et le plan les moins perturbateurs. pour se développer à partir de là en fonction des résultats. «
.
