The Google logo inside of a QR code.
Agence web » Actualités du digital » Vous détestez les codes QR? Google vous fera en numériser un lorsque vous vous connectez

Vous détestez les codes QR? Google vous fera en numériser un lorsque vous vous connectez

ParTremplin Numérique Publié le

Google abandonne l'authentification à deux facteurs SMS en faveur des codes QR. La nouvelle méthode 2FA fournira une protection accrue contre le phishing et d'autres menaces communes, mais elle peut être moins pratique que la vérification SMS, selon l'implémentation de Google.

La plupart des principaux sites Web utilisent l'authentification à deux facteurs (2FA) pour empêcher les pirates de détourner des comptes compromis. L'idée est assez simple: un pirate qui vole votre nom d'utilisateur et votre mot de passe aura rarement, voire jamais, un accès direct à votre smartphone ou votre boîte de réception par e-mail. Ainsi, au lieu de compter sur les noms d'utilisateur et les mots de passe comme seule forme de vérification de connexion, les sites Web enverront des codes uniques via SMS ou e-mail pour s'assurer que les tentatives de connexion sont légitimes.

L'authentification à deux facteurs augmente considérablement la sécurité des comptes. Malheureusement, cela rend également le processus de connexion beaucoup plus lent. Des sites Web comme Google savent que 2FA peut être ennuyeux, donc ils optent souvent pour la forme d'authentification la plus indolore – l'humble code de vérification SMS unique.

En rapport

Microsoft veut remplacer vos mots de passe par Passkeys, et ils pourraient être sur quelque chose

Vous n'avez pas encore à dire au revoir à votre mot de passe préféré.

Nous appelons souvent les SMS comme la méthode 2FA « nuageuse ». C'est mieux que rien, mais c'est loin d'être parfait. Prétendons qu'un pirate a volé le nom d'utilisateur et le mot de passe pour le compte bancaire de grand-mère. Le pirate peut surmonter la vérification des SMS en appelant grand-mère, en usurpant l'identité de Google et en lui demandant directement de donner le code. Bien que l'authentification SMS soit meilleure que rien, elle ne peut pas empêcher la manipulation sociale. Dans certains cas, il peut même fournir un placage d'authenticité pour les escrocs – si un pirate déclenche un SMS 2FA avant Appelant grand-mère, ils peuvent l'utiliser comme prétexte pour dire: « Nous avons détecté que votre compte est attaqué, donnez-nous ce code afin que nous puissions le réparer. »

L'authentification SMS est devenue une exigence de connexion par défaut pour tous les comptes Google en 2021. Maintenant, avec quatre ans d'expérience à son actif, raconte Google Forbes qu'il souhaite implémenter un système 2FA plus robuste. La société souligne le phishing, ainsi que les défauts de sécurité côté transport, comme la raison de ce changement.

Le remplacement choisi pour l'authentification SMS – codes QR—devrait Augmentez la sécurité du compte pour tous les utilisateurs de Google. Les pirates peuvent avoir du mal à convaincre grand-mère qu'elle devrait scanner un code QR aléatoire, et comme ce système de code QR ne s'appuie pas sur SMS, il ne peut pas être compromis par les pratiques de sécurité notoirement merdiques des transporteurs.

« Au cours des prochains mois, nous réinventerons la façon dont nous vérifions les numéros de téléphone. Plus précisément, au lieu de saisir votre numéro et de recevoir un code à 6 chiffres, vous verrez un code QR affiché, que vous devez scanner avec la caméra application sur votre téléphone. « 

Quant à comment Google implémentera sa nouvelle méthode 2FA, la société dit que « vous verrez un code QR affiché (lorsque vous essayez de vous connecter à votre compte Google), que vous devez scanner avec l'application de l'appareil photo sur votre téléphone. » Cela semble assez simple, mais je me pose des questions sur les détails les plus fins. Par exemple, ce système suppose que vous êtes déjà connecté à Google sur votre téléphone – que si vous ne l'êtes pas? Comment Google gérera-t-il 2FA pour les connexions du téléphone mobile?

De plus, les codes QR ne sont pas imperméables au phishing. Je suppose que ces codes QR ne sont que des liens Web. Ils vous emmènent probablement sur une page Web qui dit: « Un tel ou un tel appareil essaie de vous connecter à votre compte, voulez-vous lui donner accès? » C'est mieux qu'un code SMS à six chiffres, mais vous pouvez totalement convaincre grand-mère de cliquer sur le bouton Big Blue « Confirmer » si vous essayez vraiment. (Pour être clair, je fais un hypothèse sur le fonctionnement de la vérification QR de Google. Je peux me tromper.)

En rapport

Qu'est-ce que le quais? Comment se protéger du phishing du code QR

Le prochain code QR que vous numérisez pourrait vous voler.

Nous avons désespérément besoin d'une méthodologie 2FA plus sécurisée, sophistiquée et pratique. Les clés de sécurité matérielle sont excellentes, mais elles n'ont pas d'attrait de masse et peuvent être très impitoyables. PassKeys élimine le besoin d'authentification à deux facteurs dans certains scénarios, mais ils ne rendent pas 2FA obsolètes, et de nombreux sites Web qui utilisent PassKeys nécessitent toujours 2FA.

Quoi qu'il en soit, vous connaissez ces restaurants étranges qui utilisent des codes QR au lieu des menus? Connexion à votre compte Google va se sentir un peu comme ça. Je ne suis pas particulièrement excité par la perspective de retirer mon téléphone et de le pointer sur un écran alors que je me précipite pour entrer dans un appel de rencontre Google, et je ne suis généralement pas un fan des codes QR en premier lieu, mais je suis d'accord avec la décision de Google d'adopter une méthode 2FA plus résiliente.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.