Pour Google, la double identification par SMS ne suffit plus

Google n’a plus totalement confiance dans son système de double identification par SMS. Dans une note de blog diffusée récemment, le géant du Web annonce qu’il va inciter ses utilisateurs à passer sur une nouvelle version de son système de double identification, qui utilise désormais des notifications liées au smartphone plutôt que des SMS, dont il affirme que l’usage peut être détourné.

Le principe de l’identification en deux étapes est assez simple : en se connectant au site, l’utilisateur tape ses identifiants et son mot de passe comme d’habitude, mais au lieu d’être connecté immédiatement, il reçoit un SMS contenant un code à usage unique. En entrant ce code unique sur le site, il confirme ainsi son identité et peut alors se connecter, évitant à des personnes tierces d’accéder à son compte même s’ils ont son trouvé mot de passe, tant qu’ils n’ont pas accès à ses SMS.

Selon Google, cette méthode d’identification « est plus vulnérable à des attaques par phishing » car les SMS pourraient être interceptés par une personne ayant planifié une attaque sur un compte précis. Un premier cas, recensé par Google en décembre 2016, avait permis à un hacker de contourner cette sécurité pour s’attaquer au compte Bitcoin d’un internaute, tandis que dans un second cas, en mai dernier, des hackers allemands ont montré qu’il était possible d’intercepter les SMS et les communications d’un utilisateur suite à une faille découverte chez un opérateur.

La solution de Google est simple : le système d’identification reste le même, mais les SMS sont désormais remplacés par un service de notifications provenant directement de Google. Ces notifications, qui s’affichent exclusivement sur le smartphone de l’utilisateur, ne peuvent pas être interceptées de la même manière qu’un SMS, augmentant la sécurité de ce côté. Déjà en place, ce système peut être activé directement par les utilisateurs d’Android, mais nécessite l’installation de l’application Google Search sur iOS. C’est en effet cette dernière qui se chargera d’afficher les notifications pour les connexions à venir en lieu et place des SMS. Pour l’instant, Google n’a pas prévu de mettre fin à son système de double identification par SMS, mais préviens que les utilisateurs qui refuseraient de passer vers la nouvelle formule seront à nouveau avertis six mois plus tard.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire