Recherche de site Web

Vous détestez les codes QR ? Google vous fera scanner un lorsque vous vous connecterez

Google abandonne l’authentification à deux facteurs par SMS au profit des codes QR. La nouvelle méthode 2FA offrira une protection accrue contre le phishing et d'autres menaces courantes, mais elle pourrait être moins pratique que la vérification par SMS, en fonction de la mise en œuvre de Google.

La plupart des grands sites Web utilisent l’authentification à deux facteurs (2FA) pour empêcher les pirates de détourner les comptes compromis. L’idée est assez simple : un pirate informatique qui vole votre nom d’utilisateur et votre mot de passe aura rarement, voire jamais, un accès direct à votre smartphone ou à votre boîte de réception. Ainsi, au lieu de s’appuyer sur les noms d’utilisateur et les mots de passe comme seule forme de vérification de connexion, les sites Web enverront des codes à usage unique par SMS ou par e-mail pour s’assurer que les tentatives de connexion sont légitimes.

L’authentification à deux facteurs augmente considérablement la sécurité du compte. Malheureusement, cela ralentit également le processus de connexion. Des sites Web comme Google savent que la 2FA peut être ennuyeuse, c’est pourquoi ils optent souvent pour la forme d’authentification la plus indolore : l’humble code de vérification SMS à usage unique.

Nous nous référons souvent aux SMS comme la méthode 2FA « strict minimum ». C'est mieux que rien, mais c'est loin d'être parfait. Imaginons qu'un pirate informatique ait volé le nom d'utilisateur et le mot de passe du compte bancaire de ma grand-mère. Le pirate peut contourner la vérification par SMS en appelant sa grand-mère, en se faisant passer pour Google et en lui demandant directement de donner le code. Bien que l’authentification par SMS soit mieux que rien, elle ne peut pas empêcher la manipulation sociale. Dans certains cas, cela peut même fournir un vernis d'authenticité pour les escrocs : si un pirate déclenche un SMS 2FA avant d'appeler grand-mère, il peut l'utiliser comme prétexte pour dire : « Nous avons détecté que votre compte est attaqué, donnez-nous ce code afin que nous puissions le réparer ».

L’authentification par SMS est devenue une exigence de connexion par défaut pour tous les comptes Google en 2021. Aujourd’hui, avec quatre ans d’expérience à son actif, Google dit à Forbes qu’il souhaite mettre en œuvre un système 2FA plus robuste. L’entreprise cite le phishing, ainsi que les failles de sécurité côté opérateur, comme raison de ce changement.

Le remplacement choisi de l’authentification par SMS, à savoir les codes QR, devrait renforcer la sécurité du compte pour tous les utilisateurs de Google. Les pirates peuvent avoir du mal à convaincre grand-mère qu'elle devrait scanner un code QR au hasard, et parce que ce système de code QR ne repose pas sur les SMS, il ne peut pas être compromis par les pratiques de sécurité notoirement merdiques des opérateurs.

« Au cours des prochains mois, nous allons réinventer la façon dont nous vérifions les numéros de téléphone. Plus précisément, au lieu de saisir votre numéro et de recevoir un code à 6 chiffres, vous verrez s’afficher un code QR, que vous devrez scanner avec l’application appareil photo de votre téléphone.

En ce qui concerne la façon dont Google mettra en œuvre sa nouvelle méthode 2FA, la société affirme que « vous verrez un code QR s'afficher [lorsque vous essayez de vous connecter à votre compte Google], que vous devrez scanner avec l'application appareil photo de votre téléphone. » Cela semble assez simple, mais je me demande quels sont les détails. Par exemple, ce système suppose que vous êtes déjà connecté à Google sur votre téléphone – et si vous ne l'êtes pas ? Comment Google gère-t-il la 2FA pour les connexions par téléphone mobile ?

De plus, les codes QR ne sont pas imperméables au phishing. Je suppose que ces codes QR ne sont que des liens Web. Ils vous amènent probablement sur une page Web qui dit, comme : « Tel appareil essaie de se connecter à votre compte, voulez-vous lui donner accès ? » C'est mieux qu'un code SMS à six chiffres, mais vous pourriez tout à fait convaincre grand-mère de cliquer sur le gros bouton bleu « Confirmer » si vous avez vraiment essayé. (Pour être clair, je fais une hypothèse sur la façon dont la vérification QR de Google fonctionnera. Je peux me tromper complètement.)

Nous avons désespérément besoin d'une méthodologie 2FA plus sûre, plus sophistiquée et plus pratique. Les clés de sécurité matérielles sont excellentes, mais elles n'ont pas d'attrait pour le grand public et peuvent être très impitoyables. Les clés d’accès éliminent le besoin d’authentification à deux facteurs dans certains scénarios, mais elles ne rendent pas l’authentification à deux facteurs obsolète, et de nombreux sites Web qui utilisent des clés d’accès exigent toujours l’authentification à deux facteurs.

Quoi qu’il en soit, vous connaissez ces restaurants bizarres qui utilisent des codes QR au lieu de menus ? En vous connectant à votre compte Google, vous aurez l’impression d’être un peu comme ça. Je ne suis pas particulièrement enthousiaste à l'idée de sortir mon téléphone et de le pointer vers un écran alors que je me précipite pour participer à un appel Google Meet, et je ne suis généralement pas un fan des codes QR en premier lieu, mais je suis d'accord avec la décision de Google d'adopter une méthode 2FA plus résiliente.

Source : Google via Forbes