Google commence à activer automatiquement la double authentification sur les comptes qui ne servent pas encore de cette protection. Des dizaines de millions d'internautes sont concernés dans le monde.

Le 9 novembre 2021 marque un point de bascule dans la manière dont Google gère la sécurité des internautes : à partir de cette date, les personnes qui n’ont pas encore pris le temps d’activer la double authentification (qu’on appelle aussi authentification à deux facteurs ou authentification forte) vont basculer automatiquement dans ce mode, même si elles n’entendaient pas le faire.

Cette modification était attendue : début mai 2021, Google a rendu public son plan visant à activer automatiquement la double authentification. « Bientôt, nous commencerons à activer automatiquement la vérification à 2 étapes sur les comptes des utilisateurs, s’ils sont configurés correctement », déclarait alors Mark Risher, le directeur responsable de la sécurité des utilisateurs chez Google.

Google active la double authentification sur les comptes

Elle se concrétise à partir du 9 novembre. Dans un billet de blog daté du 5 octobre, la firme de Mountain View évaluait à 150 millions le nombre de comptes que cette politique va toucher. Dans le même temps, Google mettait en œuvre cette mesure pour 2 millions de comptes sur YouTube. Plus exactement, les comptes membres du « Programme Partenaire YouTube » . Elle est active depuis le 1er novembre.

Le principe de l’authentification à deux facteurs est de rajouter une couche de protection supplémentaire au compte, après le mot de passe. De cette façon, une sécurité reste en place même si le mot de passe est compromis. Cette vérification prend la forme soit d’un code reçu par SMS soit d’un code généré via une application, qui a été synchronisée avec le compte. Ces codes sont temporaires.

Un exemple d’une connexion sollicitant un code supplémentaire.

Pour qui n’est pas très à l’aise avec l’outil informatique, cette étape peut paraître un peu compliquée à passer. Google n’ignore pas qu’il existe une frange de la population pour qui l’utilisation des ordinateurs et des smartphones n’est pas simple et qu’un simple message peut pétrifier l’internaute à la lecture. Aussi la société privilégie-t-elle une approche un peu différente, basée sur les invites de connexion.

Au lieu d’avoir un code provisoire à inscrire quelque part, Google propose des demandes de connexion à valider en un clic. Au moment de la connexion, après le mot de passe, Google affiche une page qui contrôle si l’internaute est bien à l’origine de la requête, en donnant des indications : heure de la demande de connexion, lieu approximatif et type d’appareil. Ainsi, on peut vérifier si la demande est normale ou pas.

La double authentification renforce énormément l’intégrité d’un compte, mais ce n’est pas une solution contre toutes les menaces du net. Elle ne pourra pas grand-chose contre du hameçonnage, un rançongiciel, une attaque informatique ou une fuite de données. Pour ces menaces, il faut employer des parades spécifiques. Mais ce n’est pas pour autant qu’il faut se passer de cette défense.

Le fait de rajouter une deuxième serrure à la porte d’accès conduisant à votre compte est un pas considérable pour réduire son exposition au risque, car il faut maintenant franchir deux barrières, au lieu d’une seule. Certes, il existe des typologies d’attaque qui impliquent d’intercepter ou de réceptionner par exemple le code SMS reçu pour l’authentification à deux facteurs, mais elles sont rares et complexes.

Il faut noter que la double authentification n’est pas une sécurité propre à Google : elle est désormais très commune et de nombreux services l’intègrent, généralement en option. Il est évidemment recommandé de l’activer systématiquement. Et pour aller vraiment plus loin, il est conseillé de ne pas utiliser le même mot de passe et de ne jamais les marquer sur un post-it. À choisir, un gestionnaire est préférable.

Partager sur les réseaux sociaux

La suite en vidéo