Phishing : Google lance des clés USB pour renforcer la sécurité des mots de passe

Google affirme qu'aucun de ses 85.000 employés n'a été victime d'un piratage depuis 2017, en s'authentifiant grâce à des clés physiques branchées sur les ordinateurs. Le géant californien prévoit de les commercialiser dans les prochains mois.

© Google Inc. Les clés de sécurité sont une forme d'authentification à deux facteurs, ou 2FA. La sécurité de ses comptes en ligne ne repose pas sur mots de passe solides. Le piratage peut prendre plusieurs formes : en compromettant l'ordinateur de la personne avec des virus, ou par hameçonnage (ou phishing), une technique consistant pour le hackeur à se faire passer pour un site web légitime et inciter l'utilisateur à y donner ses identifiants. Une solution alternative vient cependant de faire ses preuves chez Google. « Nous n'avons eu aucune prise de contrôle de compte, signalée ou confirmée, depuis que nous avons implémenté des clés de sécurité », déclare un porte-parole du groupe californien.

Le géant du Web a fabriqué sa propre version de ces objets, sous le nom de Titan Security Keys. Celles-ci viennent en deux modèles : une petite clé USB se branchant à un ordinateur, ou un badge Bluetooth se connectant à un smartphone. Une fois connectées, elles ajoutent une couche de sécurité supplémentaire lors de la connexion à ses comptes sur Internet. C'est une forme d'authentification à deux facteurs (2FA), une stratégie plus large mise en place par les plateformes pour lutter contre le piratage de comptes, en particulier quand il se produit par vol d'identifiants.

La difficile sécurisation des mots de passe

La forme la plus commune de 2FA est la suivante : après avoir tapé son mot de passe sur la plateforme, celle-ci vous envoie un code unique par SMS sur votre téléphone. Pour qu'un hackeur prenne le contrôle de votre compte, il aurait donc besoin de voler non seulement votre mot de passe, mais aussi votre portable. Ce système est sûr en théorie ; mais en pratique, les textos ne sont pas conçus pour être sécurisés. Un pirate informatique motivé peut intercepter le SMS et récupérer le code, voire manipuler le vendeur d'une boutique télécom pour se procurer une copie de la carte SIM de la personne visée.

Une 2FA plus sophistiquée est la biométrie, souvent par lecture d'empreinte digitale ou reconnaissance faciale. Mais celle-ci peut poser des problèmes concernant le respect de la vie privée, si les données biométriques de l'utilisateur sont stockées sur un serveur en ligne. De plus, en cas de piratage, il n'est pas possible de changer sa propre empreinte digitale de la même façon qu'on peut changer un mot de passe. C'est pour ces raisons que la biométrie se restreint surtout à quelques utilisations bien délimitées, comme le déverrouillage de son téléphone, le paiement mobile et les gestionnaires de mots de passe.

Un début d'adoption

Les clés de sécurité permettent de pallier ce genre de problèmes. Elles ont plusieurs modes de fonctionnement, mais celui utilisé dans les Titan Security Keys est le Universal 2nd Factor (U2F). Une fois tapé le mot de passe, au lieu d'envoyer un SMS, la clé se charge automatiquement de la double authentification. Si on oublie sa clé, il est toujours possible de se connecter à ses comptes de manière « normale » en recevant un SMS.

Les clés de sécurité ne sont pour le moment supportées que par certains des plus gros sites Web, comme les services de Google et de Facebook, ainsi que par les gestionnaires de mots de passe comme Keepass et LastPass. Elles ne sont pas encore utilisables sur tous les navigateurs. Google Chrome les supporte par défaut, mais Mozilla Firefox nécessite d'activer manuellement la fonctionnalité dans les paramètres. Le support sur Microsoft Edge sera mis en place courant de l'année, mais l'intégration du standard n'est pas encore prévue pour Apple Safari.

Google prévoit de vendre ses Titan Security Keys par paquet de deux, une version USB et une version Bluetooth, pour 50 dollars (43 euros). Celles-ci seraient disponibles sur la boutique en ligne de Google d'ici à quelques mois. En attendant, c'est la firme Yubico qui domine encore le marché des clés de sécurité. Différents modèles de sa YubiKey se vendent à partir de 20 dollars (17 euros) ; une YubiKey compatible smartphones Android coûte à partir de 50 dollars (43 euros).