Google a annoncé lundi une nouvelle méthode pour sécuriser l'accès aux comptes Google, dont Gmail, grâce à la validation en deux étapes. Jusqu'à présent, ceux qui activaient cette méthode devaient saisir leur mot de passe puis un code unique reçu sur un téléphone mobile (par SMS, messagerie vocale ou application mobile). Désormais, il sera aussi possible d'insérer une clé USB pour confirmer à Google que l'on est bien le titulaire du compte.
La firme de Mountain View a en effet ajouté le support des "clés de sécurité" qui utilisent le standard FIDO Universal 2nd Factor (U2F). Il s'agit de clés physiques sur lesquelles sont inscrites une clé sécurisée associée aux comptes qui la reconnaissent.
Lors de l'enregistrement sur un service compatible comme Google, la clé de sécurité crée une nouvelle paire de clés stockée en mémoire. La clé publique est envoyée au service, tandis que la clé privé reste dans la clé USB. Au moment de l'authentification, le service demande au client un message de confirmation qui n'est déchiffrable avec la clé publique que s'il a été chiffré par la clé privée stockée dans la clé FIDO.
S'agissant d'un standard, les clés de sécurité FIDO U2F sont reconnues par tous les prestataires de services qui utilisent cette norme. Si Google est le premier des géants du Web à l'adopter, d'autres devraient rapidement suivre. Le standard a été élaboré par l'Alliance Fast IDentity Online (FIDO), qui regroupe des géants comme Google, Lenovo, PayPal, LG ou BlackBerry. C'est aussi ce standard qui est utilisé avec la biométrie, notamment pour les lecteurs d'empreintes sous Android. Hélas, Apple a choisi son propre standard propriétaire pour Touch ID, ce qui obligera les développeurs à proposer les deux types d'authentification renforcée.
Avec la méthode traditionnelle du code de vérification, "des pirates disposant de méthodes perfectionnées peuvent créer des sites imitant ceux de Google, sur lesquels vous êtes invité à fournir vos codes de validation", explique Google. "La clé de sécurité offre un niveau de protection supplémentaire contre ce type d'attaque. En effet, cette fonctionnalité utilise la cryptographie à la place des codes de validation et ne fonctionne automatiquement qu'avec le site auquel elle est destinée".
En France, Amazon ne semble en référencer qu'un seul modèle, vendu à 5,99 euros (produit en France). Il en existe toutefois d'autres modèles, à des prix très variables, dont certains qui fonctionnent également en NFC pour être utilisés avec un smartphone.
La méthode ne fonctionne pour le moment qu'avec Chrome 38 ou supérieur. En cas de besoin, il reste possible d'utiliser un code de validation sur un appareil qui ne gère pas la clé de sécurité au standard FIDO.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
