Double authentification, meilleure protection

clé authentification deux facteur Titan Google

Personne ne veut se faire pirater son compte. En même temps, presque tout le monde utilise le même mot de passe pour tous ses comptes, et un mot de passe, ça se devine aussi. Comment faire pour mieux se protéger? L’authentification à deux facteurs est une excellente piste.

Le principe de l’identification à double facteur (two factor authentication), c’est qu’on s’identifie avec quelque chose que l’on sait (un mot de passe) et quelque chose que l’on a (un objet).

Titan key Yubikey Google Titan U2F Fido
Les clés Titan de Google et la clé USB-C Yubikey

Pendant sa conférence Cloud Next 2018, Google a annoncé le lancement de la clé d’authentification Titan. C’est une petite clé USB (ou Bluetooth) qui sert de seconde identification pour la sécurité de vos comptes; elle contient un code. Sans cette clé, on ne pourra pas se connecter à son compte dans un nouvel appareil!

La clé ne servira pas que pour son compte Google; elle peut aussi servir pour se connecter à son ordinateur, pour protéger son compte Facebook, s’identifier avec le service de stockage de mot de passe LastPass et les nombreux sites et services qui utilisent le standard FIDO U2F (Universal 2nd Factor). Il n’y a pas de lien avec l’opérateur cellulaire Fido. La clé peut utiliser le Bluetooth.

La clé Titan a été testée à l’interne depuis un an. Depuis l’utilisation d’authentification deux facteurs début 2017, Google n’a pas été victime d’attaque de phishing (hameçonnage) chez ses 85 000 employés!

Protection avancée pour les utilisateurs à risque

Le principe n’est pas nouveau: des compagnies comme Yubico offrent depuis longtemps plusieurs modèles de clés pour la double authentification. Mais gageons que si Google s’y met, ça va stimuler l’adoption du principe. D’ailleurs, Google propose à ceux qui prennent leur sécurité au sérieux ou qui peuvent être victimes d’attaques ciblées (Ceux qui peuvent être cible d’attaques ciblées – les politiciens, les vedettes, les journalistes…) de s’inscrire à son programme Protection avancée.

Si je perds ma clé Fido U2F?

En cas de vol ou de perte de sa clé, on pourra toujours la désactiver… Mais le processus pour récupérer son compte sera plus laborieux. Il faudra alors s’identifier autrement en générant un code avec l’application Google Authenticator d’un appareil autorisé ou en utilisant une autre clé Fido U2F gardée en lieu sûr… Toujours le principe de la seconde authentification! Utiliser une clé physique qu’on garde avec soi est considéré plus sécuritaire qu’un code de validation, qui peut toujours être intercepté par un tiers parti mal intentionné.

Les clés Titan, en version USB ou Blutooth, seront bientôt vendues sur le Google Store pour environ 20 USD. On peut déjà se procurer une clé Yubikey en ligne.

P.

Pour en savoir plus: une FAQ non officielle sur Fido U2F (en anglais).