Google teste l'authentification via smartphone

Google teste l’authentification via smartphone

Enfin tout dépend de quel smartphone

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

24/12/2015 4 minutes
16

Google teste l'authentification via smartphone

Google travaille depuis longtemps sur diverses solutions pour en finir avec les mots de passe classiques, bien souvent trop faibles. La société teste actuellement une solution qui permettrait à une application mobile, sur Android ou iOS, de prendre le relai sur les tentatives de connexion.

Les mots de passe sont un vieux problème. Apple, Google, Microsoft, Amazon et les autres ont des politiques de création de mots de passe qui se sont renforcées avec le temps, mais un grand nombre d’utilisateurs traine les mêmes « casseroles » depuis des années, sans parler de la réutilisation des mots de passe sur plusieurs sites, permettant des piratages de comptes en série.

Les solutions envisagées et proposées sont nombreuses : figure géométrique en reliant des points, dessin sur une image, analyse de l’empreinte digitale, de l’iris, reconnaissance faciale et ainsi de suite. Contre la pauvreté d’une grande partie des mots de passe, beaucoup essayent également de mettre en place et de promouvoir l’authentification à deux facteurs, y compris des services très utilisés comme Facebook et Twitter, mais cette utilisation reste encore marginale.

Valider l'authentification depuis le smartphone

Google teste donc actuellement une solution basée sur les smartphones Android et iOS. Si l’utilisateur active le service, il sera invité à valider une connexion à l’un des sites de Google en validant son identité sur son smartphone. Cette information a été révélée par un utilisateur de Reddit, publiant du même coup plusieurs captures d’écran. Interrogé par VentureBeat, Google a confirmé travailler sur un tel service.

L’éditeur a indiqué qu’il s’agissait d’un moyen efficace de lutter contre le phishing, c’est-à-dire contre les sites qui se font passer pour l’un des services de Google, afin de récupérer des identifiants. Le but est donc de valider sur le smartphone une connexion sur un site authentique. Conséquence, l’utilisateur donne son identifiant, mais pas son mot de passe, ce dernier étant géré sur le smartphone. Les sites malveillants et autres malwares voleurs de données seraient donc rendus inopérants.

google authentification smartphone

Une connexion classique en cas de smartphone inaccessible 

La société n’en dit guère davantage pour l’instant, mais le mail envoyé aux utilisateurs tient compte de divers scénarios, notamment ce qui peut se passe en cas de smartphone inaccessible. Dans ce cas, Google indique simplement que le site sur lequel on essaye de se connecter propose toujours d’entrer le mot de passe de manière classique. Il y a d’ailleurs fort à parier qu’un tel mécanisme de secours soit toujours présent, car même si l’utilisation du smartphone peut apporter une vraie couche supplémentaire de sécurité, il faut obligatoirement prévoir une solution de remplacement en cas de perte, de vol, de panne, de manque de batterie, de réseau ou autre.

Il est intéressant de remarquer que l’email envoyé par Google s’attarde en particulier sur le cas d’un smartphone volé ou perdu. La peur de voir ce même smartphone utilisé pour valider les connexions est effectivement légitime. Pas de soucis pour la société : c’est exactement à ça que servent Touch ID sur iPhone et l’ensemble des techniques de verrouillage de l’écran. Et de rappeler que tous les appareils récents peuvent être retrouvés via les fonctions de géolocalisation depuis les sites idoines.

Un fonctionnement amené à se renforcer

Ce type de mesure est amené à se renforcer avec le temps, et Google est loin d’être la première entreprise à proposer ce genre de mesure, même s’il s’agit d’une évolution vers la connexion principale. Mais beaucoup d’autres sociétés se servent du smartphone comme moyen complémentaire via l'authentification à deux facteurs (2FA), comme Valve et Blizzard pour générer un code aléatoire qui va valider la connexion.

On pourrait citer également les applications mobiles des banques, qui font surgir une notification invitant à la validation d’un paiement et réclamant un code secret à travers le système 3DSecure ou pour la mise en place d'un virement par exemple.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Valider l'authentification depuis le smartphone

Une connexion classique en cas de smartphone inaccessible 

Un fonctionnement amené à se renforcer

Commentaires (16)


Faut juste pas se planter de site pour se connecter à myaccount.google sur le tél. <img data-src=" />


Si c’est juste optionnel, ça peut aller, pas comme avec Valve et son truc de merde sur Steam, ça me fait vraiment chier d’être obligé d’attendre 24h pour recevoir les objets échangés, juste parce qu’ils ne sont pas foutus de faire une application WP.


Et ainsi, Google possèdera toutes les authentification de tout le monde via android….

C’est merveilleux l’impunité de cette boite quand on sait qu’elles ont appliqué des méthodes similaires pour accéder aux WIFIs privés …..

La NSA s’en frotte les mains, leur régie publicitaire s’en frotte les mains, leur service de business intelligence (traduisez : l’espionnage industriel ) s’en frotte les mains !


Oui mais à partir du moment où c’est optionnel, où est le gain de sécurité ?



Quelqu’un de malveillant dira simplement qu’il n’a pas son smartphone et qu’il désire entrer un mot de passe non ?


Il existe déjà la possibilité de se connecter via un System à double authentification sur google.



D’abord on utilise son mot de de passe et ensuite on reçoit un code par sms à valider. On peut désactiver la fonction “code sms” sur les ordinateurs de confiance.



Je ne suis pas fan de la solution décrite, si le téléphone est volé sans être verrouillé cela laisse le temps de faire des dégâts. En double authentification, il faut les deux.&nbsp;


T’en n’as pas marre de ressasser sans cesse les même trolleries à chaque news Google? Si tu ne veux pas l’utiliser il est clairement dit que tu peux faire à “l’ancienne” donc il est où le problème?



Pffffffff… faut vraiment cesser un moment de toujours resortir les mêmes poncifs éculés… essaie de te renouveler! <img data-src=" />


Il me semble que le système à double authentification déjà existant est amplement suffisant. On entre un code qu’on reçoit par SMS ou via l’application Google Authentificator et le tour est joué. On ne peut pas faire mieux comme sécurisation.


Google propose une solution, à toi de l’utilisé ou non, tout le monde n’est pas un anti-Google.

Personnellement j’utilise beaucoup d’outils Google gratuitement que j’aurais sans doute du payer à une époque sans en avoir avoir de mauvaise conséquence dans mon utilisation.

Depuis que j’utilise Google, mon carnet d’adresse, certain document important pour moi sont sauvegardé automatiquement.

Je me rappel d’une époque ou mes DD lâchait et je pleurais, où quand je synchronisais mon palm sur son socle à partir de Windows qui déconnais qui me provoquais des doublons. (obligation d’utiliser Microsoft Outlook d’ailleurs).

Sans doute pour toi c’est des détails mais putain j’en ai passer du temps là dessus, et crois moi je n’y retournerais jamais.








clemsfr a écrit :



Je ne suis pas fan de la solution décrite, si le téléphone est volé sans être verrouillé cela laisse le temps de faire des dégâts. En double authentification, il faut les deux.&nbsp;



&nbsp;Avec les nouveaux téléphones qui arrivent , même à petit prix, avec reconnaissance d’empreinte, je vois vraiment pas pourquoi se priver de verrouiller son téléphone









artigbzh a écrit :



&nbsp;Avec les nouveaux téléphones qui arrivent , même à petit prix, avec reconnaissance d’empreinte, je vois vraiment pas pourquoi se priver de verrouiller son téléphone





Je ne suis pas fan de laisser son empreinte dans un appareil mobile que l’on peut perdre. Il faut bien comprendre que c’est une donnée biométrique. &nbsp;Meme gardée cryptée, c’est toute votre identité que vous pouvez perdre en cas de faille. &nbsp; Mais il est possible de garder le system du mot de passe plus du bouton à cliquer plutôt que de taper un deuxième code.









clemsfr a écrit :



Je ne suis pas fan de laisser son empreinte dans un appareil mobile que l’on peut perdre. Il faut bien comprendre que c’est une donnée biométrique. &nbsp;Meme gardée cryptée, c’est toute votre identité que vous pouvez perdre en cas de faille. &nbsp; Mais il est possible de garder le system du mot de passe plus du bouton à cliquer plutôt que de taper un deuxième code.





Je n’étais pas fan sur le principe, mais depuis que j’ai un Honor 7 je ne pourrais plus me passer du déverrouillage par empreinte, c’est super pratique !



Et toujours le même snobisme des appareils Windows phone. Et pourquoi ne pas aussi utiliser Windows hello directement pour les PC équipés ? Se raccrocher à une double authentification via le Smartphone pour utiliser des méthodes biométriques dont ils disposent, et snober ces mêmes outils désormais disponibles sur PC, ça me semble illogique… Sauf si on considère le sectarisme de Google.


Une trollerie de parler des problèmes liés à Google ?????

Donc une société qui ne vend rien d’autre que de l’espace publicitaire et qui gagne des milliards par trimestre, cela te semble juste un petit detail pour troll ?

Sincèrement, nous n’en sommes qu’au tout debut des abus de ces sociétés…. les prochaines se passeront dans la finance : fintch, blockchain, maitrise du risque….. avec un cash flow effarant, le laxisme des autorités de regulation, et la mégalomanie de leurs dirigeants…. tout est en place pour le prochain acte !


Non mais le jour où on aura un service google sur un WP, l’homme aura déjà marché sur Mars…



Le pire étant MS qui porte ses applis sur iOs et Android dans de meilleurs version que son propre OS… Je pense notamment à Outlook et OneNote.



Bref j’adore mon 950xl et WP10M mais ça commence à devenir bien chiant le manque d’appli et/ou la différence de soins entre les Os








sinbad21 a écrit :



Il me semble que le système à double authentification déjà existant est amplement suffisant. On entre un code qu’on reçoit par SMS ou via l’application Google Authentificator et le tour est joué. On ne peut pas faire mieux comme sécurisation.







Surtout qu’on n’est pas lié à un fournisseur pour çà… plus générique et avec solutions de replis (si tu n’as pas ton smartphone ou ton générateur de token -&gt; codes à usages uniques imprimés).



Je ne pensais pas dire ça un jour, mais tu ne penses pas que Microsoft as été le dieu du sectarisme avant, si maintenant ils sont “ouvert” c’est que la concurrence ne leur as pas laisser le choix.

Des exemples NFTS, Samba, certain ce sont battus pour les avoirs, que dire des formats proprio comme les docx et consœurs.

Quand je lis ton commentaire, j’ai l’impression que Microsoft as bien bossé pour se refaire une virginité.