Agence web » Actualités du digital » Utiliser un compte Gmail pour les services aux entreprises? Pourquoi vous avez besoin de la protection avancée de Google

Utiliser un compte Gmail pour les services aux entreprises? Pourquoi vous avez besoin de la protection avancée de Google

Si vous utilisez un compte Gmail pour votre entreprise, ce compte est la clé de toute votre vie. Vous pouvez penser que l'authentification à deux facteurs (2FA) est suffisante pour tenir les criminels à distance, mais 2FA basé sur SMS peut être facilement contourné.

Les problèmes avec 2FA

L'authentification à deux facteurs est idéale pour la sécurité des comptes. Au lieu de simplement demander un mot de passe, un compte compatible 2FA vous enverra un code par SMS ou via une application d'authentification sur votre téléphone, que vous devrez entrer pour confirmer que c'est vous. C'est très bien, car si votre mot de passe est volé, l'attaquant a toujours besoin d'un accès physique à votre téléphone.

Au moins, c'est ainsi que cela est censé fonctionner, mais il y a une mise en garde majeure: même avec 2FA basé sur des applications d'authentification (qui n'utilisent pas SMS), votre numéro de téléphone fonctionne toujours comme dispositif de récupération sur votre compte. Pas votre téléphone, mais votre numéro de téléphone. Ce qui signifie que si quelqu'un prend le contrôle de votre numéro, il a désormais accès à votre compte.

Ce n'est pas seulement une hypothèse, il est incroyablement facile de voler le numéro de téléphone de quelqu'un. Lorsque je suis passé à un nouveau téléphone dans un magasin Verizon, ils n'ont demandé que deux choses: mon numéro de téléphone et mon anniversaire, qui sont tous deux accessibles au public (bien que votre anniversaire ne devrait généralement pas l'être). Ils n'ont pas pris mon pièce d'identité, ils n'ont pas vérifié que j'étais le titulaire du compte, ils n'avaient pas besoin de mon ancien téléphone et ils n'ont pas vérifié ma carte de crédit. Ils m'ont simplement donné une nouvelle carte SIM avec mon numéro de téléphone lié, et j'étais dehors. Mais cela aurait pu facilement être le numéro de quelqu'un d'autre, et ça aurait pu être facilement le vôtre.

Le pire, c'est qu'un pirate informatique dans cette attaque n'aurait même pas besoin de votre mot de passe, car les comptes Gmail de base peuvent avoir leur mot de passe réinitialisé en utilisant uniquement votre numéro de téléphone. La solution à ce problème est de couper complètement le téléphone et de ne pas parier le contrôle de votre compte sur la paresse des employés de Verizon.

Protection avancée de Google

L'authentification à deux facteurs est le plus souvent utilisée avec un téléphone, car tout le monde en a toujours un à portée de main. Mais ce n'est pas le seul appareil que vous pouvez utiliser.

Ce sont les clés de sécurité Titan de Google. Ce sont des porte-clés qui fonctionnent comme un appareil à deux facteurs; vous pouvez les considérer comme des clés de votre voiture, sauf qu'elles sont nécessaires pour vous connecter à votre compte Gmail.

Ces clés ne peuvent pas être volées (à moins que quelqu'un ne vous vole à la tire), et elles ne peuvent pas être hameçonnées, car un véritable accès physique est ce sur quoi elles fonctionnent. Cette méthode d'authentification est communément appelée Universal Two Factor ou U2F. Les clés Titan ne sont pas la seule clé que vous pouvez obtenir non plus, il existe une norme appelée FIDO qui régit leur fonctionnement, et il y en a beaucoup sur le marché.

Vous pouvez utiliser ces clés en remplacement de SMS 2FA, mais elles sont mieux utilisées en combinaison avec le programme de protection avancée de Google. La protection avancée vous oblige à utiliser cette clé, et elle verrouille la récupération de compte pour être un processus beaucoup plus ardu, ce qui signifie que personne ne peut contourner le 2FA et le mot de passe de votre compte en volant votre numéro de téléphone (ce qui est le principal problème de l'authentification régulière).

La principale mise en garde est qu'ils verrouillent votre compte un peu. Vous ne pourrez pas utiliser certaines applications tierces qui nécessitent l'accès à vos données, et vous serez obligé d'utiliser Chrome ou Firefox pour accéder à vos services Google signés, bien que Chrome mobile fonctionne correctement.

Comment activer la protection avancée

Tout d'abord, vous aurez besoin de quelques clés de sécurité. Bien que vous puissiez utiliser n'importe quel porte-clés compatible FIDO, nous vous recommandons les clés Titan de Google, car elles s'intègrent le mieux à leurs services et sont officiellement prises en charge.

Les clés Titan sont de 50 $ pour la paire. Vous obtiendrez une clé Bluetooth, qui est votre clé primaire, et une qui ressemble à un lecteur flash, qui sera votre clé de sauvegarde au cas où vous perdriez la première. Vous devez absolument les conserver dans des endroits séparés.

Vous devrez attendre leur envoi, mais une fois arrivés, vous pourrez vous inscrire à Advanced Security Protection en reliant vos deux clés.

Après cela, vous serez déconnecté sur tous les appareils, nécessitant un accès par porte-clés pour vous reconnecter, et votre compte est désormais aussi sécurisé qu'un compte Google.

Pour G Suite, les choses sont un peu plus compliquées. Votre compte administrateur G Suite (qui doit se terminer par votre nom de domaine) ne peut actuellement pas activer la protection avancée disponible pour les comptes Google classiques, mais vous pouvez toujours utiliser votre clé Titan pour activer l'autorisation de porte-clés.

La principale chose à noter est que cela ne vous donne pas la protection de récupération étendue offerte aux utilisateurs de la protection avancée. Vous pouvez contourner cela simplement en supprimant votre numéro de téléphone de vos options de récupération, car ce n'est pas nécessaire. Assurez-vous de fournir un e-mail de sauvegarde (qui peut être votre compte Gmail normal), au cas où vous oublieriez votre mot de passe. De plus, la récupération sera désactivée automatiquement de toute façon si votre domaine G Suite compte plus de 3 administrateurs ou plus de 500 utilisateurs, pour empêcher les attaques contre les grandes entreprises.

De plus, vous pouvez appliquer la protection avancée à tous les utilisateurs de votre G Suite. Cela les oblige à utiliser leurs propres porte-clés et verrouille la récupération de compte par SMS. Notez que ce n'est que pour les comptes des employés, et non pour votre compte administrateur, car cela nécessite sa propre configuration.

★★★★★