Google aucun de ses plus de 85 000 employés n’a été victime d’hameçonnage sur leurs comptes professionnels depuis début 2017, lorsqu’il a commencé à exiger que tous les employés utilisent des clés de sécurité physiques à la place des mots de passe et des codes à usage unique, a déclaré la société à BreachTrace.
Une clé de sécurité YubiKey fabriquée par Yubico. Le modèle de base présenté ici se vend 20 $.
Les clés de sécurité sont des périphériques USB peu coûteux qui offrent une approche alternative à l’authentification à deux facteurs (2FA), qui oblige l’utilisateur à se connecter à un site Web en utilisant quelque chose qu’il connaît (le mot de passe) et quelque chose qu’il possède (par exemple, un appareil).
Un porte-parole de Google a déclaré que les clés de sécurité constituent désormais la base de tous les accès aux comptes chez Google.
« Nous n’avons eu aucune prise de contrôle de compte signalée ou confirmée depuis la mise en place des clés de sécurité chez Google », a déclaré le porte-parole. « Les utilisateurs peuvent être invités à s’authentifier à l’aide de leur clé de sécurité pour de nombreuses applications/raisons différentes. Tout dépend de la sensibilité de l’application et du risque de l’utilisateur à ce moment-là.
L’idée de base derrière l’authentification à deux facteurs est que même si les voleurs parviennent à hameçonner ou à voler votre mot de passe, ils ne peuvent toujours pas se connecter à votre compte à moins qu’ils ne piratent ou ne possèdent également ce deuxième facteur.
Les formes les plus courantes de 2FA exigent que l’utilisateur complète un mot de passe avec un code à usage unique envoyé à son appareil mobile via un SMS ou une application. En effet, avant 2017, les employés de Google s’appuyaient également sur des codes à usage unique générés par une application mobile — Authentificateur Google.
En revanche, une clé de sécurité met en œuvre une forme d’authentification multifactorielle connue sous le nom de 2e facteur universel (U2F), qui permet à l’utilisateur de terminer le processus de connexion simplement en insérant le périphérique USB et en appuyant sur un bouton sur le périphérique. La clé fonctionne sans avoir besoin de pilotes logiciels spéciaux.
Une fois qu’un appareil est inscrit sur un site Web spécifique qui prend en charge les clés de sécurité, l’utilisateur n’a plus besoin de saisir son mot de passe sur ce site (sauf s’il essaie d’accéder au même compte à partir d’un appareil différent, auquel cas il demandera à l’utilisateur de insérer leur clé).
U2F est une norme d’authentification open source émergente, et en tant que telle, seule une poignée de sites de haut niveau la prennent actuellement en charge, y compris Boîte de dépôt, Facebook, GithubGenericName (et bien sûr les différents services de Google). La plupart des principaux gestionnaires de mots de passe prennent également en charge U2F, y compris Dashlaneet Gardien. Sécurité duo [full disclosure: an advertiser on this site] peut également être configuré pour fonctionner avec U2F.
Avec un peu de chance, d’autres sites commenceront bientôt à intégrer le API d’authentification Web – aussi connu sous le nom « WebAuthn» — une norme mise de l’avant par le World Wide Web Consortium en collaboration avec le Alliance FIDO. La beauté de WebAuthn est qu’il élimine le besoin pour les utilisateurs de saisir constamment leurs mots de passe, ce qui annule la menace des méthodes courantes de vol de mot de passe comme le phishing et attaques de l’homme du milieu.
Actuellement, U2F est pris en charge par Chrome, MozillaFirefoxet Opéra. Dans Firefox et Quantum (la version la plus récente et la plus rapide de Firefox), U2F n’est pas activé par défaut. Pour l’activer, tapez « about: config » dans la barre du navigateur, tapez ou collez « security.webauth.u2f » et double-cliquez sur l’entrée résultante pour changer la valeur de la préférence de « false » à « true ».
Microsoft dit qu’il prévoit de déployer des mises à jour de son produit phare Bord navigateur pour prendre en charge U2F plus tard cette année. Selon un article récent sur 9to5Mac.com, Pomme n’a pas encore dit quand ou s’il soutiendrait la norme dans son Safari navigateur.
Le fabricant le plus populaire de clés de sécurité est probablement Yubicoqui vend une clé U2F de base pour 20 $ (il propose des versions USB régulières ainsi que celles conçues pour les appareils nécessitant des connexions USB-C, comme le plus récent d’Apple MacOS systèmes). Yubikey vend également des clés U2F plus chères conçues pour fonctionner avec des appareils mobiles.
Si un site que vous fréquentez ne prend pas encore en charge WebAuthn, veuillez envisager de renforcer votre connexion avec une autre forme de 2FA. Des centaines de sites prennent désormais en charge l’authentification multifacteur. 2fa.répertoire maintient probablement la liste la plus complète des sites prenant en charge 2FA, indexant chacun par type de site (e-mail, jeux, finance, etc.) et le type de 2FA proposé (SMS, appel téléphonique, jeton logiciel, etc.).
En général, l’utilisation de SMS et d’appels téléphoniques automatisés pour recevoir un jeton unique est moins sécurisée que de s’appuyer sur une application de jeton logiciel comme Google Authenticator ou Authy. En effet, les voleurs peuvent intercepter ce code à usage unique en incitant votre opérateur mobile à échanger la carte SIM de votre appareil mobile ou à « porter » votre numéro de mobile vers un autre appareil. Cependant, si les seules options 2FA proposées par un site que vous fréquentez sont les SMS et/ou les appels téléphoniques, c’est toujours mieux que de se fier simplement à un mot de passe.
Pendant que nous parlons d’authentification multifacteur, je dois noter que Google propose désormais un ensemble supplémentaire de mesures de sécurité pour toutes ses propriétés appelées Protection avancée. Le fonctionnement exact de la protection avancée de Google (et les compromis liés à son activation) fera probablement l’objet d’une autre histoire ici, mais filaire.com a récemment publié un résumé décent à ce sujet. Incidemment, Cet article comprend un guide étape par étape sur la façon d’intégrer les clés de sécurité dans la protection avancée.
J’utilise Advanced Protection depuis plusieurs mois maintenant sans aucun problème majeur, même s’il m’a fallu quelques essais pour le configurer correctement. Un aspect frustrant de son activation est qu’il ne permet pas d’utiliser des applications de messagerie tierces telles que Thunderbird ou Outlook de Mozilla. J’ai trouvé cela frustrant car pour autant que je sache, il n’y a pas de solution intégrée dans Gmail pour le chiffrement des messages électroniques PGP/OpenGPG, et certains lecteurs préfèrent partager des conseils d’actualité de cette façon. Auparavant, j’avais utilisé Thunderbird avec un plugin appelé Enigmail pour faire ça.
Mise à jour, 16 h 09 HE : Une version antérieure de cette histoire indiquait à tort que le gestionnaire de mots de passe LastPass prend en charge U2F avec Yubikeys. Plusieurs lecteurs ont fait remarquer que LastPass ne prend en fait pas en charge U2F, malgré documentation sur le site de l’entreprise cela semble suggérer le contraire. J’ai vérifié auprès de la société et ils ont confirmé que seul Yubikey plus un mot de passe à usage unique (OTP) fonctionnera avec LastPass pour le moment. D’après leur déclaration :
« Bien que pris en charge par certaines grandes organisations, dont Google et Github, l’U2F n’est toujours pas largement pris en charge par les sites Web. Bien que nous suivions ses progrès depuis sa première annonce, LastPass ne prend pas en charge U2F pour le moment. Seul Yubikey avec OTP fonctionnera avec LastPass pour le moment. Cependant, depuis que Yubikey a ajouté U2F à leurs clés, ils ont un mode double OTP + U2F, qui est le mode par défaut. La puce sur la clé peut dire si l’ordinateur demande l’OTP ou l’U2F, et envoyer la bonne réponse.