Google sécurise physiquement les comptes, Facebook compare les identifiants piratés

Facebook détecte les identifiants et mots de passe compromis, Google propose la protection par double authentification via une clé USB de sécurité.

À l’heure où Facebook renforce la détection de mots de passe piratés, Google invite ses utilisateurs à protéger leurs comptes par une authentification à deux facteurs via une clé de sécurité.

Une clé « FIDO U2F Ready »

Nommée Security Key, la clé USB que propose Google ne fonctionne qu’avec Chrome 38 ou une version ultérieure du navigateur, ce dernier supportant le protocole Universal 2nd Factor (U2F), un standard ouvert promu par l’alliance FIDO (Fast IDentity Online).

Comment cela fonctionne ? Plutôt que de taper un code à caractères multiples en plus d’un mot de passe, l’utilisateur des services de Google (Gmail, Google Drive, Google+…) saisit ses identifiants et place la clé dans le port USB de son terminal. Il l’active en appuyant sur le bouton central lorsque Chrome l’y invite. La promesse : une amélioration de la protection contre le phishing. Le coût : l’utilisateur doit acquérir un périphérique USB compatible (« FIDO U2F Ready ») auprès de fournisseurs. Yubico, par exemple, facture la clé 18 dollars sur son site web.

« Lorsque vous vous connectez à votre compte Google en utilisant Chrome et Security Key, vous pouvez être sûr que la signature cryptographique ne fera pas l’objet de phishing », a commenté Nishit Shah, manager produit chez Google, dans un billet daté du 21 octobre. Quelques jours plus tôt, l’équipe en charge de la sécurité chez Facebook annonçait des mesures de protection.

Facebook veille et alerte

Pour mieux protéger l’accès au réseau social, Facebook s’est doté d’un système lui permettant de comparer des adresses email et mots de passe piratés et diffusés sur le web avec ceux de ses utilisateurs. Si les identifiants détournés sont similaires à ceux d’un membre de la plateforme communautaire, Facebook l’alerte par courriel et l’invite à changer d’identifiants.

« Il s’agit d’un processus complètement automatisé qui ne nous oblige pas à connaître ou stocker votre mot de passe Facebook réel sous une forme non cryptée. En d’autres termes, personne ici n’a votre mot de passe en texte clair », a assuré Chris Long, ingénieur sécurité chez Facebook, dans une note. Il a rappelé, par ailleurs, qu’une solution de double authentification est également proposée.

Lire aussi

– Avec Simply Secure, Google et Dropbox veulent simplifier la cybersécurité
– Facebook testerait une application de messagerie « anonyme »