•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Google lance une clé de sécurité pour réduire les risques de piratage

Une photo montrant deux petits appareils en plastique blanc ressemblant à des breloques pour porte-clefs. L'appareil de gauche a une forme d'oeuf et est muni d'un bouton ovale dans la partie du bas. L'appareil de droite a la forme d'une clé traditionnelle et son bout est en métal doré.
La clé de sécurité Titan de Google vient dans un ensemble comprenant une clé Bluetooth (à gauche) et une clé USB. Photo: Google
Radio-Canada

L'un des conseils les plus répandus pour mieux sécuriser ses informations sur le web est d'utiliser la vérification en deux étapes. Et parmi les méthodes pour ce faire, les clés de sécurité constituent l'une des plus efficaces. Google l'a bien compris et se lance donc sur ce marché avec la clé Titan.

En juillet dernier, Google annonçait qu’aucun de ses 85 000 employés n’avait été victime d’hameçonnage (Nouvelle fenêtre) depuis que l’entreprise exige l’utilisation de ces clés à l’interne. La nouvelle avait de quoi surprendre, puisque l’hameçonnage est l’un des problèmes de sécurité les plus répandus dans les entreprises.

Qu’est-ce qu’une attaque d’hameçonnage?

Une attaque d’hameçonnage est une méthode utilisée par les fraudeurs qui vise à soutirer des informations personnelles (mot de passe, numéro de carte de crédit, identité, etc.) en se faisant passer pour une personne ou une organisation de confiance.

Le plus souvent, les victimes sont invitées à se connecter sur un faux site web qui a toutes les allures d’un vrai, ce qui permet aux fraudeurs d’enregistrer les informations sensibles.

Ces clés servent à ajouter une couche de sécurité supplémentaire lorsque vous vous connectez à un service web. La plupart du temps, les sites et services que vous utilisez vous demandent d’entrer un mot de passe. Or, dans bien des cas, les mots de passe sont relativement faciles à deviner pour des pirates avec un peu d’expérience. De plus, le piratage de grandes banques de données, comme celui de Yahoo en 2013, rend parfois même les meilleurs mots de passe inutiles.

Une méthode simple et très efficace

Bien qu’elle n’élimine pas complètement les risques de piratage, la vérification en deux étapes vise à les réduire au maximum tout en étant simple et rapide. Plusieurs méthodes existent, dont la réception d’un code unique par message texte, l’utilisation d’une application d’authentification ou encore l’usage d’une clé de sécurité.

Comme les clés de sécurité sont des objets physiques qui ne peuvent pas se connecter à Internet, elles sont généralement vues comme plus sécuritaires. En effet, à moins d’être altérées lors de leur fabrication, elles sont normalement réputées impiratables. À moins qu’un malfaiteur s’empare à la fois de votre mot de passe et de votre clé de sécurité, vos comptes devraient normalement être impénétrables, sauf par vous.

La clé Titan de Google vient dans un ensemble comprenant en réalité deux clés : l’une qui se branche dans un port USB et l’autre qui fonctionne par Bluetooth. La clé USB est aussi équipée d’un système de communication de champ proche lui permettant de communiquer avec certains appareils Android. Un adaptateur USB-A vers USB-C est également fourni dans l’ensemble pour pouvoir connecter la clé à plus d’appareils, y compris des téléphones et des tablettes.

Google précise sur son site qu’elle recommande de conserver l’une des deux clés dans un endroit sécuritaire en guise de plan B en cas de perte ou de vol de l’autre clé.

Pas à toute épreuve

La décision de Google de créer une clé Bluetooth a toutefois été critiquée par Yubikey, l’un des plus importants fabricants de clés de sécurité au monde. Selon cette entreprise, les communications Bluetooth ne sont pas entièrement sécuritaires, et un pirate motivé pourrait en théorie intercepter les codes de chiffrement de la clé s’il se trouvait assez près de celle-ci. En pratique, ce genre d’attaque est peu commun, mais le risque existe tout de même.

Les clés Titan sont compatibles avec de nombreux sites populaires, dont Facebook, Twitter, Dropbox et les sites appartenant à Google.

Ces clés ne sont actuellement offertes qu’aux États-Unis, mais elles seront bientôt vendues dans d’autres pays.

Avec les informations de Techcrunch, The Verge, Krebs on Security, et BGR

Cybersécurité

Techno