Un smartphone Android peut authentifier un compte Google sur un appareil iOS

Mickaël Bazoge |

Authentifier son compte Google depuis un iPhone ou un iPad grâce à un appareil Android, c’est désormais possible. Cette nouveauté, déjà disponible pour les ordinateurs macOS, Windows 10 et Chrome OS, fait donc son apparition pour les terminaux iOS. Le principe de cette vérification en deux étapes répond donc au même principe consistant à utiliser un smartphone Android comme clé de sécurité.

Authentification d’un compte Google sur un iPad avec un Pixel 3a.

Pour accéder à un compte Google depuis iOS, et après avoir saisi ses identifiant et mot de passe, le téléphone Android sert de deuxième facteur d’authentification sécurisé. Une notification apparait sur l’appareil, il faut alors entrer le code de déverrouillage ou s’identifier avec le capteur biométrique. Il s’agit simplement de confirmer que l’utilisateur est bien celui qui a demandé l’accès à son compte Google.

Cette fonction de sécurité doit être activée au préalable ; Google ajoute aux requis le téléchargement et l’installation, sur l’appareil iOS hôte, de l’app Smart Lock dans laquelle il faut authentifier son ou ses compte(s) Google.

Pour confirmer les ordinateurs Mac, PC (Windows) et Chromebook, Google s’appuie sur le protocole CTA2 de l’alliance FIDO pour assurer la sécurité de la communication Bluetooth entre le navigateur Chrome et l’appareil Android. Pour l’identification d’un appareil iOS, le moteur de recherche utilise cette application Smart Lock, qui prend la place de Chrome.

Pour les utilisateurs de G Suite et de la plateforme Google Cloud dans les organisations et les entreprises, Google conseille d’utiliser des clés de sécurité physique — le moteur de recherche en propose quelques unes… qui ont été victimes récemment d’une brèche de sécurité (oups).

avatar Yves SG | 

Je sais pas pourquoi, mais Google et sécurité dans la même phrase, ça sonne pour moi comme Monsanto et santé.
Leurs liens me paraissent beaucoup plu marketing que quoi que ce soit d’autre...

avatar armandgz123 | 

@Yves SG

Il y a déjà eu des problèmes de sécurité avec Google ? En tout cas je n’en n’ai pas souvenir

avatar Yves SG | 

@armandgz123

Moi personnellement non, je n’utilise aucun service de Google.

Et il est vraie que Google veut notre sécurité. Tout comme Monsanto veut notre santé...

Par ailleurs vous n’êtes pas sans savoir qu’android est une vraie passoire, mais ça c’est encore un autre sujet...
Ex https://www.phonandroid.com/android-faille-securite-espionner-2013.html

avatar byte_order | 

@Yves SG

Si l'existence d'une faille ZeroDay dans un système informatique vous suffit pour le qualifier de passoire pour vous, alors vous devez considérer TOUS les systèmes informatiques comme des passoires.
iOS inclus.

La faille dont vous parlez - qui n'a pas donné lieu à une exploitation massive puisque le chercheur l'ayant trouvé indique qu'il n'a pas connaissance qu'elle ait été exploité par quiconque - a été comblée, dès connaissance par Google, automatiquement soit par la maj automatique de Chrome soit par la maj automatique de Android System WebView, selon la version d'Android installé. Pas de maj d'OS requise, pour un composant pourtant "système".

Les failles zeroday c'est pas un autre sujet si pour vous c'est équivalent à un trou dans une passoire.

Je vous invite a regarder de près une passoire : comptez le nombre de trou par cm2.
Je vous invite ensuite a regarder la liste des failles connues d'un OS : comptez le nombre de trou par octet de code.

La densité, aka le nombre de trou par rapport à la surface, c'est ça qui établi un seuil au dela duquel on peut parler de passoire ou pas.

Le nombre de failles dans les systèmes informatiques modernes c'est pareil, vu leur taille en octets, la densité est de plus en plus faible. Et jusqu'à preuve du contraire, la densité de failles connus dans Android n'a rien d'exceptionnel et est dans la même échelle que celle de iOS (voir moindre, il me semble), même si cela chagrine votre stéréotype.

Mais, oui, il restera toujours des trous, c'est sûr. Une passoire avec seulement 20 trous sera très peu efficace, mais il reste des trous, c'est sur.

avatar Bigdidou | 

@Yves SG

Tu confonds sécurité et confidentialité ;)
Les machins Google, c’est très bien sécurisé, on peut pas leur enlever ça.

Sinon, je ne savais pas que ce genre de manœuvre n’était pas possible.
Du coup, ça limite l’effet whaou.

avatar Sgt. Pepper | 

@Bigdidou

Oui ?
on peut faire 100% confiance à Google pour utiliser les données Personnelles et en tirer le Max de flouze (grâce à Adsense) en toute sécurité.

Il ne risque pas de se laisser piquer le magot ?

avatar Ze_misanthrope | 

Yves, il semble clair que vous confondez les mots... :-)

avatar Indecence | 

On pourrait alors dire la même chose de Apple alors ... Et puis, Apple confie a Google les données des clients (nous) sur iCloud. EN d'autre terme, tout iCloud est géré via Google et ses serveurs. C'est juste l'image que tu te fait de Gogole mais elle est fausse ou faussée. :)

avatar Yves SG | 

@Indecence

"tout iCloud est géré via Google et ses serveurs"

Bien entendu. D’ailleurs au cas où vous ne seriez pas au courant, les données de la DGSE, de la CIA, du MI5, du KGB et du Mossad aussi...

avatar Brice21 | 

@Indecence

Et les data center d’Apple sont en fait des laboratoires extra-terrestres.

avatar Xnov57 | 

En tout cas question sécurité Google a encore beaucoup de travail à faire niveau téléphone, comme la protection qui ressemble à celle d’apple quand on essaye d’activer un smartphone ou tablette sous android qui est bloquer par le FRP de Google quand ce dernier a était effacer il faut l’activer avec l’adresse mail et mots de passe qui a servie à ça première activation et là dessus y a du boulot car ça ce contourne en quelque minute, et même quand on dispose de l’adresse mail et du bon mots de passe bin des fois ça ne fonctionne pas donc de ce côté là niveau sécurité c’est moyen, après je sais pas si le soucis vient d’androïd mais comme ça fonctionne avec un compte Google je reste septique concernant la sécurité de Google vue la facilité qu’il y a à contourner le FRP sur un smartphone ou tablette bloquer par un compte Google.

avatar Ze_misanthrope | 

Bonjour
Si vous arrivez a exprimer votre phrase en français vous avez peut être découvert un problème de sécurité dont personne n'est au courant, n'hésitez pas à contacter Google, ils paient assez cher pour les personnes qui découvrent des failles

avatar marenostrum | 

il dit qu'on peut facilement activer un smartphone Android, même étant bloqué. mais on le fait aussi facilement pour les iPhone. y en a des boutiques qui le font pour quelques billets.

activer veut dire, effacer le contenu en installant un système propre. pas renter dans le compte de l'ancien possédant et jeter un oeil, qui est une toute autre affaire. pour ça d'ailleurs que les marques se montrent indifférentes. un smartphone perdu, un nouvel achat pour eux.

avatar pilipe | 

Personne ne parle des pubs qui s’affichent sur les smartphone Huawei lol. Voilà le résultat d’acheter des téléphones en dessous de leur prix réel :-D

avatar byte_order | 

@pilipe
Et les pubs qui s'affichent dans l'AppStore, c'est quoi ? Le résultat d'acheter des téléphones au dessus de leur prix réel ?!

;-)

PS: problème de clavier (touche h et l) lors de la saisie de votre pseudo?

avatar pilipe | 

@byte_order

Vois comparez vraiment le fait d’avoir de temps en temps une app suggéré en haut de l’AppStore avec une pub en fond d’écran de son téléphone ?

avatar razerblade | 

@pilipe

"Vois comparez vraiment le fait d’avoir de temps en temps une app suggéré en haut de l’AppStore avec une pub en fond d’écran de son téléphone ?"

C’est à l’écran de verrouillage, comme Windows le fait. Cette pub peut être désactivé dans les options. Renseignez-vous jusqu’au bout la prochaine fois.

avatar Brice21 | 

@pilipe

Tu confonds avec Xiaomi.

avatar Xalio | 

J’adore les idées reçues que les fan boy Apple ont sur Google.

Figurez vous qu’un rapport de sécurité indépendant a noté Android comme étant plus sécurisé qu’iOS dans les dernières implémentations de chaque OS.

Après effectivement Android permet à l’utilisateur plus de liberté donc plus de marge pour faire n’importe quoi. Comme installer des apps hors play store ou activer les options de développement.

Comme souvent la faille ne vient pas de la techno mais de l’utilisateur.

avatar Ze_misanthrope | 

Oui c'est effarant...
Surtout que ces mêmes utilisateurs peuvent installer des dmg vérolés sur leur Mac de la même manière, mais ils trouvent cela normal.

La réalité et la réalité perçue...

avatar Brice21 | 

@Xalio

Le seul détail c’est que personne n’installe la dernière version d’androïd, ou presque.

CONNEXION UTILISATEUR