Validation deux facteurs : le smartphone Android est maintenant une clé de sécurité

Mickaël Bazoge |

Google transforme n’importe quel smartphone Android (à partir de la version 7.0) en clé de validation deux étapes. Le principe est simple : il suffit de s’identifier sur l’appareil mobile pour déverrouiller sur son ordinateur un des services web compatibles.

À l’heure actuelle, cette nouvelle méthode de sécurité se limite à G Suite, Gmail, Google Cloud et aux comptes Google. À terme, c’est à dire une fois que le système sera suffisamment robuste, le moteur de recherche prévoit d’autoriser des services tiers à utiliser ce nouveau processus.

S’il faut posséder un smartphone Android pour s’identifier, l’ordinateur peut être un PC sous Windows ou ChromeOS, ou encore un Mac, du moment que Chrome soit installé. Le service est déjà disponible, il faut se rendre sur la page myaccount.google.com/security, cliquer sur Validation en deux étapes et ajouter le smartphone qui fera office de clé de sécurité.

L’ordinateur et le smartphone/clé de validation ne doivent pas être trop éloignés l’un de l’autre, puisqu’ils communiquent par Bluetooth. Avec un Pixel 3, qui embarque une puce de sécurité Titan M, il suffit de cliquer sur le bouton de volume pour s’identifier. Sur les autres appareils mobiles, il faut s’identifier de manière traditionnelle.

Ce nouveau service s’appuie sur les standards FIDO et WebAuthn, ce dernier ayant été officiellement adopté par le W3C début mars.

avatar totoguile | 

C'est chouette ! vivement cela sur iOS.
D'ailleurs je me demandais si des personnes avaient acheté des clés FiDO et comment cela fonctionne sur Mac ?

avatar ecatomb | 

Par contre, si on perd ou se fait voler le smartphone. Que se passe-t-il alors ? Impossible de se connecter ?

avatar creatix | 

@totoguile
Il est déjà possible sur mac d'utiliser une clé U2F (ou fido2) sur Chrome et Firefox pour les sites le supportant.

@ecatomb
Dans l'idée il faut avoir plusieurs moyens d'authentification à feux facteurs. Généralement il est recommandé d'avoir une clé d'authentification U2F (ou fido2) dans le trousseau et une autre en secours à la maison. En cas de perte ou de vol d'une clé, il est alors possible d'utiliser la clé de secours pour se connecter et retirer la clé volée au niveau des autorisations.

avatar raphta | 

Pour iCloud, devoir valider sur mon iPhone, puis recopier les chiffres... Ca me paraît tellement pas Apple, que je ne comprends pas qu’ils n’ont pas fait mieux.
Une ptit coup de faceid et hop... connecté.

avatar huexley | 

Heuu, cela va faire quelques mois que je valide mes accès Google depuis mon OnePlus 6.... ?

avatar Mickaël Bazoge | 
Ça doit être grâce à Google Prompt, un autre service un peu du même genre mais sans le Bluetooth…
avatar huexley | 

A bordel j'ai loupé le bluetooth, Mea culpa

avatar AlexRezid | 

@huexley

Tu le fais par un simple déverrouillage du tél ou via l’appli GoogleAuthenticator (qui existe aussi sur iOS mais ce n’est pas le sujet)

avatar huexley | 

Dévérouillage de tel. Sur mon OnePlus 6. Mais ce système est sur le Bluetooth ce que je n'avais pas vu

avatar koko256 | 

Sauf que la W3C vient de normer webauthn qui fait la même chose donc j'espère que les autres vont plutôt suivre cette norme.

avatar igaijin | 

J’avais commencé à écrire quelque chose pour manifester mon étonnement de trouver Android et sécurité dans la même phrase mais j’ai effacé et me suis abstenu pour ne pas être qualifié de Troll... Je tenais à le préciser car si je ne l’avais pas fait personne n’aurait été au courant ??

avatar Dark-mac | 

Il existe un truc similaire pour iPhone qui s'appelle Krypton et qui marche avec quelques services
https://krypt.co

avatar Ginger bread | 

No way

avatar ipfix8 | 

Génial, ca et la carte navigo sur android. L'innovation est clairement du coté d'Android (je parle pour moi en tant qu'utilisateur)
Faudra que je regarde si N26 est compatible avec la NFC android et il ne me restera plus de raison d'être chez Apple

avatar byte_order | 

@ipfix8
La réponse est oui :

https://n26.com/fr-fr/google-pay

avatar Malouin | 

@ipfix8

Depuis quand la carte Navigo est une innovation ? Apple Pay oui... Et je parie que Navigo sera sur iPhone d’ici la fin de cette année. Comme à Londres.

avatar osxkiller92 | 

JAMAIS je ne confierai la sécurité de mes appareils à un appareil sous Android, cette espèce de passoire à tout hack qui se présente. Et qui plus est, confier des infos de sécurité à l’aspirateur de vie privée qu’est Google.

avatar Lu Canneberges | 

@osxkiller92

+1000

avatar Ze_misanthrope (non vérifié) | 

Je crois que tu confonds pas mal.... Niveau sécurité de l'OS les deux plateformes sont au même niveau, ou presque.

Si tu confonds avec les gens qui installent des applications chinoises douteuses, cela n'a rien a voir avec la sécurité...

avatar osxkiller92 | 

@Ze_misanthrope Non, je ne confonds rien, je te rassure ;)

avatar Ze_misanthrope (non vérifié) | 

Au moins tu es convaincu de ce que tu dis, c'est bien !

avatar Garfield3 | 

JAMAIS je ne ferais confiance aux propos d'un inconnu qui prétend qu'un système est bourré de failles ou autres alors qu'on ne sait absolument rien de lui. C'est aussi rassurant que les mecs en imper devant les écoles?

avatar osxkiller92 | 

@Garfield3 T’es mignon merci de pas me confondre avec ces dégueulasses. Pour ta gouverne je bosse dans l’IT donc en terme de sécurité informatique, j’en sais un peu plus que tu ne le penses. Et tu seras gentil d’aller roter tes horreurs ailleurs qu’ici. Mon commentaire n’en appelle pas un de ta part, tu peux la boucler tu y es autorisé.

CONNEXION UTILISATEUR