Google Keys : des clés physiques pour améliorer la protection de vos mots de passe<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Google Keys : des clés physiques pour améliorer la protection de vos mots de passe
©Reuters

Révolution ?

Ce programme de protection avancée et connu sous le nom d’Advanced Protection Program vise à rendre inutile le vol de votre mot de passe par la simple utilisation de deux clés physiques.

Jean-Paul Pinte

Jean-Paul Pinte

Jean-Paul Pinte est docteur en information scientifique et technique. Maître de conférences à l'Université Catholique de Lille et expert  en cybercriminalité, il intervient en tant qu'expert au Collège Européen de la Police (CEPOL) et dans de nombreux colloques en France et à l'International.

Titulaire d'un DEA en Veille et Intelligence Compétitive, il enseigne la veille stratégique dans plusieurs Masters depuis 2003 et est spécialiste de l'Intelligence économique.

Certifié par l'Edhec et l'Inhesj  en management des risques criminels et terroristes des entreprises en 2010, il a écrit de nombreux articles et ouvrages dans ces domaines.

Il est enfin l'auteur du blog Cybercriminalite.blog créé en 2005, Lieutenant colonel de la réserve citoyenne de la Gendarmerie Nationale et réserviste citoyen de l'Education Nationale.

Voir la bio »

Atlantico : Comment fonctionnent les "clefs physiques" que Google compte populariser pour renforcer la protection des comptes de ses usagers ?

Jean-Paul Pinte : Nous sommes encore loin de l’abandon des mots de passe et pourtant ce ne sont pas les idées qui ont manqué ces dernières années avec l’identification par l’empreinte, par la voix et j’en passe. Dans ce cadre Google va sortir un nouvel outil destiné à une poignée d’utilisateurs. Celui-ci leur permettra notamment de sécuriser leurs connexions grâce à des clefs physiques, sans nécessiter de passer par une double authentification sur son téléphone.

Ce programme de protection avancée et connu sous le nom d’Advanced Protection Program  vise à rendre inutile le vol de votre mot de passe par la simple utilisation de deux clés physiques. Les clés physiques dont le premier développement par Google remonte à 2010 sont une évolution de l'authentification à deux facteurs, une couche de sécurité supplémentaire pour s'assurer que votre mot de passe est saisi par vous.

Google avait déjà tenté en 2014 la possibilité de sécuriser son compte au moyen d’une clef de sécurité physique. Les clés physiques sont une évolution de l'authentification à deux facteurs, une couche de sécurité supplémentaire pour s'assurer que votre mot de passe est saisi par vous.

La nouveauté d’APP reposerait ici en fait sur l’utilisation d’une clé USB physique et l'idée du programme avancé de protection de Google est de fournir aux gens un appareil physique beaucoup plus difficile à voler qu'un message texte. Pour se connecter à son compte Google, l’utilisateur devra insérer une clé USB spécifique dans son appareil. Pour espérer accéder au compte par effraction, les hackers devront donc dérober la clé auprès de l’usager.

Toute personne disposant d'un compte Google peut s'inscrire au programme de sécurité sur la page Web Protection avancée de Google. Pour commencer, vous devrez acheter deux clés physiques pour environ 20 $ chacune. Google recommande d'en acheter un à Feitian et un autre à Yubico. Les clés, qui ressemblent à des clés USB et peuvent tenir sur votre porte-clés, contiennent des signatures numériques qui prouvent que vous êtes bien vous.

Pour en configurer un, branchez la clé dans un port USB d'un ordinateur, appuyez sur un bouton et nommez-le. (La clé Feitian communique sans fil avec votre smartphone pour authentifier la connexion.) Ce processus prend quelques minutes. Sur un ordinateur et un smartphone, vous devez vous connecter une seule fois avec la clé, et Google se souviendra des appareils pour les prochaines connexions.

Le site Phonandroïd  de nous rappeler  (et c’est dommage…) que ces nouvelles sécurités devraient être réservées dans un premier temps principalement à des personnes importantes détenant des données sensibles susceptibles d’attiser la convoitise des hackers les plus redoutables !

Victimes de traque, dissidents dans les pays autoritaires ou encore les journalistes sont également des cibles intéressées par ces avancées sécuritaires.

Quels sont les avantages et désavantages de ces clés ?

Ces deux clés seront certes plus pratiques que l'authentification traditionnelle à deux facteurs nécessitant d'entrer un code unique chaque fois que vous vous connectez.

Elles ne pourront cependant bénéficier à tous les utilisateurs de Google comme je le signalais plus haut et si vous êtes marié à des applications non-Google qui ne sont pas encore compatibles avec les clés, vous devriez attendre afin le programme arrive à maturité. Pour le moment, cela signifie uniquement l'application de messagerie Gmail de Google, l'application de sauvegarde et de synchronisation de Google et le navigateur Chrome de Google. Sur votre iPhone, par exemple, vous devrez utiliser les applications Gmail ou Inbox de Google pour la messagerie, et sur un ordinateur, vous ne pouvez utiliser que le navigateur Chrome lorsque vous vous connectez avec un navigateur.

Si vous comptez sur Apple Mail pour accéder à votre compte Gmail sur un iPhone, ou si vous utilisez Microsoft Outlook pour accéder à Gmail sur un PC, vous n'aurez pas de chance.

Si Google affirme que son objectif est de permettre éventuellement aux applications tierces de fonctionner avec le programme, il appartiendra également à d'autres entreprises de mettre à jour leurs applications pour qu'elles prennent en charge les clés.

Si vous en perdez une, un pirate aurait de la difficulté à trouver le compte auquel il était associé. D'un autre côté, si vous perdez les clés ou n'avez pas les clés lorsque vous devez vous connecter à un nouveau périphérique, il faudra plus de temps pour retrouver l'accès à votre compte. Google a mis en place des étapes de récupération plus élaborées pour les utilisateurs de l’APP, notamment des examens supplémentaires et des demandes de détails sur les raisons pour lesquelles les utilisateurs ont perdu l'accès à leur compte.

Et si vous perdez une clé, vous pouvez entrer dans votre compte avec la clé restante.

Les clés pourraient à la longue devenir ennuyantes si vous utilisiez de nombreux appareils et que vous devez constamment vous munir des clés pour vous connecter à votre compte.

Enfin, une autre fonctionnalité du Advanced Protection Program permettrait notamment de bloquer totalement l’accès aux données du compte Google par des applications et des services tiers.

Google insiste particulièrement sur ces questions de protection des mots de passe depuis un an : s'agit-il de l'ouverture d'un nouveau marché ou la marque d'une crainte ou fébrilité ?

Google ne peut plus rester muet face à cette problématique de mots de passe. Elle en parle depuis quelques années et a tenté à deux reprises d’instaurer ce système à deux clés. Ses embauches à venir de plusieurs milliers de cadres visent sûrement à intégrer et à développer ces axes sécuritaires dans leurs recherches et développements. Sa politique de protection avancée développée sur son site en est aussi une illustration.

La firme de Mountain View est aussi dans un processus constant d’amélioration de ses services, de Gmail notamment qui est le service de messagerie le plus utilisé, avec une pénétration chaque jour un peu plus importante en entreprise. En mai dernier, les boîtes Gmail ont gagné en capacité de détection d’attaques par phishing, de pièces jointes et URL malveillantes (grâce à l’apprentissage machine, une technique de l’intelligence artificielle). Difficile d’omettre la mention de ce trio, tant il demeure l’une des armes les plus utilisées par les cybercriminels. Les attaques contre le Parti démocrate américain à l’approche des dernières élections présidentielles n’ont pas manqué de faire tache d’huile et la presse spécialisée en cybersécurité en rapporte d’autres au quotidien.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !