La sécurité au carré

La validation en deux étapes peut aider les utilisateurs à mieux se protéger en ligne. Le compte Google leur offre quelques options.

Un piratage de données réussi peut avoir des conséquences fâcheuses. Dans certains cas, des malfaiteurs anonymes ont utilisé les comptes des victimes pour troller avec le nom de l'utilisateur sur les médias sociaux ou pour envoyer des courriels frauduleux. D'autres personnes ont constaté la disparition d'argent dans leurs comptes bancaires en ligne. Souvent, les gens remarquent que leurs comptes ont été piratés seulement une fois que les dommages sont faits.

Une des raisons pour lesquelles les vols de données continuent de se produire est que la plupart des utilisateurs se fient trop à leurs mots de passe pour les protéger en ligne. Ils ne savent pas qu'il existe en ligne des listes contenant des millions de combinaisons de noms d'utilisateurs et de mots de passe. Ces listes, appelées « password dumps » (décharges de mots de passe) par les experts, sont créées en rassemblant les données obtenues lors de nombreux vols de données. Étant donné que de nombreuses personnes utilisent leurs mots de passe pour plusieurs choses, les données de connexion de leurs comptes Google peuvent se retrouver dans ces « password dumps », même si leurs comptes n'ont pas été piratés. Une autre menace constante est celle de l'hameçonnage : des tentatives frauduleuses d'obtenir des mots de passe et d'autres renseignements à l'aide de courriels ou de sites Web en apparence fiables.

C'est pourquoi des entreprises comme Google recommandent aux utilisateurs de sécuriser leur compte en ligne à l'aide de la validation en deux étapes, qui demande de présenter deux facteurs différents pour pouvoir se connecter, comme un mot de passe et un code envoyé dans un message texte. Cette méthode d'authentification est devenue courante, surtout pour les banques et les émetteurs de cartes de crédit.

Les experts en sécurité classent les facteurs de sécurité en trois types de base. Le premier type est un élément d'information (« quelque chose que vous savez ») : par exemple, un utilisateur reçoit un code dans un message texte et l'entre pour se connecter, ou doit répondre à une question de sécurité. Le deuxième type est un objet physique (« quelque chose que vous avez ») que vous pouvez utiliser pour l'authentification, comme une carte de crédit. Le troisième type regroupe les données biométriques (« quelque chose que vous êtes »), comme les empreintes digitales, qui permettent aux utilisateurs de téléphones intelligents de déverrouiller leur écran. Toutes les stratégies de validation en deux étapes utilisent une combinaison de deux de ces trois facteurs.

Google offre différentes validations en deux étapes. En plus du traditionnel mot de passe, les utilisateurs peuvent entrer un code de sécurité à usage unique qu'ils reçoivent par message texte ou par appel vocal, ou encore qu'ils génèrent à l'aide de l'application Google Authenticator, qui fonctionne sur Android et sur iOS, le système d'exploitation d'appareil mobile d'Apple. Les utilisateurs peuvent aussi fournir une liste d'appareils de confiance dans leur compte Google. Si un utilisateur tente de se connecter à l'aide d'un appareil qui ne figure pas sur cette liste, il recevra un avertissement de sécurité de Google.

Au cours des trois dernières années, Google a également donné à ses utilisateurs l'option d'utiliser un jeton de sécurité physique, appelé une clé de sécurité. C'est une clé USB, NFC ou Bluetooth qui doit être connectée à l'appareil en question. Ce processus est basé sur la norme d'authentification libre U2F (« Universal 2nd Factor », deuxième facteur universel), créée par le consortium FIDO. Google fait partie de ce consortium avec des entreprises comme Microsoft, Mastercard et PayPal. Des jetons de sécurité basés sur la norme U2F sont offerts par différents fabricants à peu de frais. Leur utilisation a été couronnée de succès : depuis le lancement des clés de sécurité, les risques de vol de données ont considérablement diminué. Un compte en ligne peut en théorie être piraté de n'importe quel endroit dans le monde, mais les voleurs doivent avoir le jeton de sécurité physique en main pour commettre leur méfait (ils doivent aussi connaître les données de connexion de la victime pour accéder à son compte). Plusieurs autres entreprises que Google participent déjà à l'utilisation de ces jetons de sécurité.

Bien sûr, la validation en deux étapes a aussi ses désavantages. Ceux qui reçoivent des codes par messages texte doivent avoir leur téléphone à portée de la main lorsqu'ils se connectent à l'aide d'un nouvel appareil. Et les utilisateurs peuvent perdre leurs clés USB et Bluetooth. Ces problèmes ne sont toutefois pas insurmontables, et ils représentent peu de choses quand on considère à quel point la validation en deux étapes améliore la sécurité. Une personne qui perd sa clé de sécurité peut supprimer le jeton perdu de son compte et en ajouter un nouveau. Une autre option est d'enregistrer une deuxième clé de sécurité dès le départ et de la mettre en lieu sûr.

Pour obtenir de plus amples renseignements, visitez le site :

g.co/2step

Illustration : Birgit Henne