Personne ne veut se faire pirater son compte de courriel ou de réseau social. En même temps, un mot de passe, ça se devine ou ça se vole, un risque important, surtout que trop de monde utilise le même mot de passe pour tous ses comptes. Comment faire pour mieux se protéger? L’authentification à deux facteurs est une excellente piste.

Le principe de l’identification à double facteur (two factor authentication), c’est qu’on s’identifie avec quelque chose que l’on sait (un mot de passe) et quelque chose que l’on a (un objet).

Pendant sa conférence Cloud Next 2018, Google a annoncé le lancement de la clé d’authentification Titan. C’est une petite clé USB (ou Bluetooth) qui sert de seconde identification pour la sécurité de vos comptes; elle contient un code. Sans cette clé, on ne pourra pas se connecter à son compte dans un nouvel appareil!

Pas seulement pour son compte Google

La clé ne servira pas que pour son compte Google; elle peut aussi servir pour se connecter à son ordinateur, service de stockage de mot de passe LastPass et les nombreux sites et services qui utilisent le standard FIDO U2F (Universal 2nd Factor). (Il n’y a pas de lien avec l’opérateur cellulaire canadien Fido!) Pas besoin de la brancher dans son appareil: la clé peut aussi utiliser le protocole Bluetooth.

La clé Titan a été testée à l’interne depuis un an. Depuis l’utilisation d’authentification deux facteurs début 2017, Google n’a pas été victime d’attaque de phishing (hameçonnage) chez ses 85 000 employés!

AJOUT: La clé permet non seulement de s’identifier auprès du site, mais elle identifie aussi le site, pour s’assurer que son identification n’est transmise qu’aux sites qu’on veut vraiment visiter. Une façon d’éviter de transmettre son mot de passe à un site d’hameçonnage sans s’en rendre compte.

Protection avancée pour les utilisateurs à risque

Le principe n’est pas nouveau: des compagnies comme Yubico offrent depuis longtemps plusieurs modèles de clés pour la double authentification. Mais gageons que si Google s’y met, ça va stimuler l’adoption du principe. D’ailleurs, Google propose à ceux qui prennent leur sécurité au sérieux ou qui peuvent être victimes d’attaques ciblées (Ceux qui peuvent être cible d’attaques ciblées – les politiciens, les vedettes, les journalistes…) de s’inscrire à son programme Protection avancée.

Si je perds ma clé Fido U2F?

En cas de vol ou de perte de sa clé, on pourra toujours la désactiver… Mais le processus pour récupérer son compte sera plus laborieux. Il faudra alors s’identifier autrement en générant un code avec l’application Google Authenticator d’un appareil autorisé ou en utilisant une autre clé Fido U2F gardée en lieu sûr. Toujours le principe de la seconde authentification! Utiliser une clé physique qu’on garde avec soi est considéré plus sécuritaire qu’un code de validation, qui peut toujours être intercepté par un tiers parti mal intentionné.

Les clés Titan sont maintenant en vente au Canada sur le site de Google. On peut aussi se procurer une clé Yubikey en ligne.

P.

Pour en savoir plus: une FAQ non officielle sur Fido U2F (en anglais).

Mon article dans Les Affaires sur la façon dont une clé U2F peut empêcher le fishing et le SIM swapping: Arnaque à la SIM: prévenir la prochaine menace.