À l’heure où Facebook renforce la détection de mots de passe piratés, Google invite ses utilisateurs à protéger leurs comptes par une authentification à deux facteurs via une clé de sécurité.
Nommée Security Key, la clé USB que propose Google ne fonctionne qu’avec Chrome 38 ou une version ultérieure du navigateur, ce dernier supportant le protocole Universal 2nd Factor (U2F), un standard ouvert promu par l’alliance FIDO (Fast IDentity Online).
Comment cela fonctionne ? Plutôt que de taper un code à caractères multiples en plus d’un mot de passe, l’utilisateur des services de Google (Gmail, Google Drive, Google+…) saisit ses identifiants et place la clé dans le port USB de son terminal. Il l’active en appuyant sur le bouton central lorsque Chrome l’y invite. La promesse : une amélioration de la protection contre le phishing. Le coût : l’utilisateur doit acquérir un périphérique USB compatible (« FIDO U2F Ready ») auprès de fournisseurs. Yubico, par exemple, facture la clé 18 dollars sur son site web.
« Lorsque vous vous connectez à votre compte Google en utilisant Chrome et Security Key, vous pouvez être sûr que la signature cryptographique ne fera pas l’objet de phishing », a commenté Nishit Shah, manager produit chez Google, dans un billet daté du 21 octobre. Quelques jours plus tôt, l’équipe en charge de la sécurité chez Facebook annonçait des mesures de protection.
Pour mieux protéger l’accès au réseau social, Facebook s’est doté d’un système lui permettant de comparer des adresses email et mots de passe piratés et diffusés sur le web avec ceux de ses utilisateurs. Si les identifiants détournés sont similaires à ceux d’un membre de la plateforme communautaire, Facebook l’alerte par courriel et l’invite à changer d’identifiants.
« Il s’agit d’un processus complètement automatisé qui ne nous oblige pas à connaître ou stocker votre mot de passe Facebook réel sous une forme non cryptée. En d’autres termes, personne ici n’a votre mot de passe en texte clair », a assuré Chris Long, ingénieur sécurité chez Facebook, dans une note. Il a rappelé, par ailleurs, qu’une solution de double authentification est également proposée.
Lire aussi
– Avec Simply Secure, Google et Dropbox veulent simplifier la cybersécurité
– Facebook testerait une application de messagerie « anonyme »
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…