Gmail comme deuxième facteur d’authentification chez Google

Nicolas Furno |

L’authentification en deux facteurs est une mesure de sécurité essentielle de nos jours, pour éviter qu’un tiers puisse s’identifier en devinant votre mot de passe. Mais le deuxième facteur peut aussi représenter un risque de sécurité, surtout s’il s’agit d’un message envoyé par SMS. De plus en plus de solutions utilisent d’autres voies plus sûres, comme un appareil de confiance chez Apple, ou une app chez Google.

L’authentification en deux facteurs pour se connecter à Google pouvait jusque-là être validée dans l’app principale du géant de la recherche. Désormais, l’app Gmail pourra remplir cet office sur iOS. Si le client mail est installé sur un iPhone ou un iPad, c’est lui qui affichera la notification et lui aussi qui vous permettra de valider la connexion.

L’authentification en deux facteurs de Google est similaire dans Google ou Gmail.

Google justifie ce changement par la volonté de convaincre davantage d’utilisateurs à utiliser cette méthode de sécurité. L’app Gmail est probablement l’une des plus populaires sur iOS, en tout cas davantage que l’app Google, et son choix est ainsi logique.

Comme toujours, le déploiement de la nouveauté sera progressif au fil des semaines à venir. Si vous n’avez pas encore activé cette option sur votre compte Google, vous pouvez le faire à cette adresse.

avatar Alex56 | 

"mesure de sécurité" "Gmail" "Google"
Ha, ha, ha !
Rajoutez "Fesse-de-bouc"

avatar Ze_misanthrope (non vérifié) | 

Tiens, encore un lecteur qui parle de sécurité sans savoir.
As tu le moindre doute sur la sécurité de Gmail? Ou c'est juste pour dire du mal :-p

avatar C1rc3@0rc | 

@Alex56

Ben Google a un labo expert en securité qui est un de plus efficace au monde, donc en terme de securité ils connaissent le sujet.

Maintenant, tu amalgames avec Facebook ce qui tend a laisser penser que tu confond securité et confidentialité.

Facebook est un outil de hacking qui est specialisé dans le social engineering, et que les milliards de victimes remplissent elles memes avec leurs informations mais aussi avec celles de leurs relations...

Apres, l'authentification en deux facteurs est une fumisterie de premiere. Au moins maintenant les journalistes ont fini par integrer que cette authetification par SMS etait de la foutaise totale qui en plus permet de recuperer le nº de tel de la victime potentielle

«Mais le deuxième facteur peut aussi représenter un risque de sécurité, surtout s’il s’agit d’un message envoyé par SMS. »
Ça a mis le temps a rentrer mais maintenant c'est connu...

Apres est ce que Gmail peut etre une securité en soit?
Non, clairement pas.
Pour une raison evidente. Gmail est une application de gestion d'email, et a part quelques rares personnes utilisant PGP, l'email est un protocole qui n'utilise pas de chiffrement... tout passe en clair!
Et comme la majorité des services repose sur un identifiant qui est une adresse mail...

L'authentification en 2 facteurs peut etre efficace a conditions:
- d'utiliser deux terminaux distinct pour chaque partie de l'identification
- d'utiliser deux réseaux distincts
- que l'identifiant et le mot de passe soient uniques

Il existe une maniere d'utiliser le meme reseaux sans trop porter atteinte a l'integrite du systeme, mais il faut utiliser deux protocoles de communication chiffrés distinct et toujours 2 applications speficiques.

dans le cas decrit, c'est un peu moins dangereux que l'usage du SMS, mais on reste tres loin du niveau de securité d'un bon mot de passe de plus de 16 caracteres...

avatar Sgt. Pepper | 

@bidibout

Non, à priori il est possible de récupérer le code SMS directement sur le réseau SS7 ⚠️

https://youtu.be/kIjNDUluLF4

(Et il y a d’autres cas ...)

avatar C1rc3@0rc | 

@bidibout

«Moi qui pensais que l'envoie du code par sms était sûr... il est possible pour un tiers de récupérer le code que l'on reçois via cette méthode ?»

Pff, depuis des années que nous sommes plusieurs a le repeter ici...
Non le SMS est trouffé de faille, est multi ecouté, logué, exploitable et exploité... et en plus c'est dangereux!!!

avatar hrurussia | 

@C1rc3@0rc

Comment ça se fait d'ailleurs que ça soit toujours la seule "norme" pour les "messages textes" si c'est aussi peu sûr ?

(ps : aucune connaissance, mais aucune, dans le domaine ...)

avatar C1rc3@0rc | 

@hrurussia

«Comment ça se fait d'ailleurs que ça soit toujours la seule "norme" pour les "messages textes" si c'est aussi peu sûr ?»

Question de cout, de politique,... et de sécurité.

On parle de milliards de terminaux et de millions d’équipements installés, dont une grande partie repose sur une dépendance administrative.

Le protocole a ete elaboré il y a longtemps (debut des annees 80 pour le SMS) avec des contraintes de securité minimalistes afin de ne pouvoir sous-dimensionner les infrastructures nécessaires.
L'objectif etait la depense minimale et la rentabilité maximale... Et puis le protocole SMS n'est pas sorti ex-nihilo, il derive du pager.. s'il est limitee a 160 caractere c'est par un choix arbitraire sortie de nulle part...

Il faut aussi imaginer que lorsque les reseaux cellulaires ont ete deployé, la puissance des telephones etait tout juste suffisante pour numeriser la voix et cela a un cout tres eleve. S'il avait en plus fallu integrer le chiffrement efficace ça aurait fait exploser les tarifs

Il y a aussi des besoins des autorités de surveiller les telecom. Le chiffrement incassable entre civils n'est pas une option acceptée. Il faut que les telecom - sous controle final des militaires - soient ecoutables...

Ensuite il faut aussi savoir que comme la plupart des telecom, le reseau cellulaire est une surexploitation d'une vieille techno developpée pour les militaires dans un cas tres limité.
La techno initiale daterait de la fin des annees 40 et l'usage le plus commun aurait ete la communication a courte distance sur les champs d'intervention...
Si le système était forcement chiffre a l’origine mais la techno relarguée dans le public l'a ete sans le systeme de chiffrement, relevant évidemment du secret militaire...

avatar hrurussia | 

@C1rc3@0rc

D'accord !
Mais qu'est-ce qui fait qu'on abandonne pas ce procédé aujourd'hui alors puisqu'il est visiblement ancien et peu sécurisé? Enfin Whatsapp, iMessage et d'autres permettent des échangent chiffrés, donc ne serait-ce pas logique de laisser tomber le SMS?

avatar C1rc3@0rc | 

@hrurussia

«enfin Whatsapp, iMessage et d'autres permettent des échangent chiffrés, donc ne serait-ce pas logique de laisser tomber le SMS?»

Essentiellement pour 3 raisons:
- C'est un standard universel et automatique :n'importe quel telephone antediluvien peut envoyer un SMS au dernier Samsung Note 9... s'importe ou sur la planete
- c'est un format ultra leger qui releve uniquement de la gestion par l'operateur (operateur ayant des obligations legales)
- c'est un format stable dans le temps:

Ça veut dire qu'il est utilisable meme si le reseau est surchargé, qu'il a un impact en terme d'echange de données tres leger (donc tres rentable pour l'operateur), qu'il a une valeur legale (certes discutable aujourd'hui) et qu'il permet une ecoute systematique au niveau des autorités.

En face, tu as des protocoles proprietaires, instables dans le temps, ne fonctionnant que sur certains appareils liés a des services commerciaux, proprietaires, qui font souvent partie d'une strategie d'obsolescence programmée, qui sont connus pour etre hackable au niveau internet...

Prends le cas d'iMessage: qui peut l'utiliser?

Cites moi la messagerie standard d'Android?

Tu as un ami avec un iPhone, un autre avec un Note9, un autre avec - je suis desolé pour toi - un Windows Phone, et un dernier avec un telehone a clapet qui a plus de 10 ans. Tu dois envoyer le meme message a chaqu'un le plus vite possible!
Tu fais quoi? SMS...

Et comme je l’écris plus haut la technologie du reseau cellulaire provient de l'armee. Si le systeme a ete developpé pour le GP sans chiffrement serieux c'est pour de bonnes raisons... Les autorités surtout au niveau internationale ne sont pas pressées de developper des telecom chiffrées sérieusement (bout-a-bout avec un niveau de codage a peu pres decent)

avatar Sgt. Pepper | 

Surtout un moyen d’économiser sur le coût d’envoi de SMS , non?
?

avatar PiRMeZuR | 

C’est indéniablement plus sécurisé mais il y a de plus en plus de fraudes.

L’arnaque classique, c’est l’appel du conseiller qui vous annonce qu’il y a une transaction suspecte et vous demande de bloquer la transaction en validant dans l’app (ou de leur dire le code généré). En réalité, la validation est utilisée pour se connecter à la banque en ligne et retirer de l’argent.

En Suède, où 93% des possesseurs de comptes utilise le même système, Mobil BankID, et où l’identifiant à de nombreux services est le numéro d’identité (assez facile à obtenir), c’est devenu une technique de phishing connue (mais malheureusement pas de tous).

avatar C1rc3@0rc | 

@PiRMeZuR

Les banques sérieuses sur la sécurité confient des terminaux hertzien a leurs clients qui vont servir a l'authentification en deux facteurs.
Le reste c'est de la foutaise.

Seul souci avec cette solution, certains pays les considèrent comme illégaux (ce sont des matériel de cryptographie étrangers ) car incassables...

avatar fskynet67 | 

J’utilise l’application "Authy" pour l’authentification à deux facteur. Marche nickel mais pas avec tout

avatar romainB84 | 

" L’app Gmail est probablement l’une des plus populaires sur iOS"
heu... la plus populaire des app de google alors? (et encore :-/ : elle serait vraiment + utilisé que youtube ou google map par exemple?)
en tout cas, ce n'est tres certainement pas l'une des plus populaires de l'ensemble de l'app store d'ios :)

avatar trouspinette | 

Une précision sur cette fonctionnalité : la page de support Google indique que seul GSuite est concerné.

https://gsuiteupdates.googleblog.com/2018/04/google-prompt-ios-gmail.html

J'ai demandé au support GSuite, voici la réponse :

"I would expect that once it launches, it would be available for @gmail.com addresses also, but I'm afraid there's no gaurantee, as @gmail.com addresses would not be covered by G Suite support"

Traduction : "Je m'attends à ce qu'une fois lancé, il soit disponible pour les adresses @gmail.com, mais je crains qu'il n'y ait pas de garantie, car ces adresses @gmail.com se seraient pas couvertes par le support GSuite"

Donc, RdV dans 15 jours lors de la mise à disposition du service :

"If available, you should start seeing the prompts within the next 2 weeks, when the feature is fully rolled out"

Chose rigolote et remarquable, le support GSuite se moque et ne s'occupe pas de @gmail.com ==> "we don't support @gmail.com addresses, so there's nobody that would be able to answer that question in G Suite support."

avatar vanthonioz | 

D’ailleurs, saviez-vous que l’icône Gmail n’était autre qu’un symbole franc-maçon?
Regardez-donc à quoi ressemble un « tablier de maître REAA », vous m’en direz des nouvelles!...

CONNEXION UTILISATEUR