L’entreprise profite de ce 6 mai – journée mondiale du mot de passe – pour annoncer une bascule attendue de pied ferme depuis longtemps : l’activation par défaut de l’authentification à deux facteurs pour l’ensemble des comptes.
Jusqu’à présent, cette activation était manuelle (et chaudement recommandée). Pour rappel, il suffit d’utiliser son smartphone comme second facteur, via certaines applications de l'éditeur, comme Google ou Gmail. Sur Android, ces applications étant intégrées dans l’immense majorité des cas, ce sera encore plus simple.
Le processus est connu : quand vous vous connectez à votre compte depuis un appareil, une application ou un navigateur inconnu, une notification apparaît sur votre téléphone. En appuyant dessus, vous vous rendez dans l’application qui l’a émise et validez la demande.
Si vous recevez cette dernière alors que vous ne vous êtes pas connecté, il s’agit probablement d’une tentative frauduleuse, que vous pouvez alors bloquer.
L’énorme avantage de cette méthode d’authentification est que le premier facteur – le mot de passe – n’est plus suffisant pour se connecter d’un nouvel endroit. En cas d’identifiants volés, les données restent en théorie protégées. Cette protection est d’autant plus cruciale pour un compte Google, souvent un carrefour de très nombreuses données personnelles.
Dans son annonce, Google se plaît à imaginer un monde sans mot de passe, la mesure de sécurité n’en finissant plus d’être critiquée depuis des années par de nombreux acteurs. La société rappelle au passage que Chrome peut servir à les créer, les stocker et les synchroniser sur les autres plateformes. Le navigateur dispose d’ailleurs d’une fonction d’importation des mots de passe (il était temps).
Commentaires (53)
#1
C’est une sécurisation toute relative que propose Google.
Je t’arrache ton portable quand tu es en train de t’en servir, donc déverrouillé, j’ai tes mots de passe stockées dans Chrome et parfaitement exportables donc, et l’appareil pour valider que c’est bien toi qui établis une nouvelle connexion.
Et dans leur monde sans mot de passe, ils envisagent quoi comme second facteur d’authentification?
#1.1
Tu peux désactiver le compte à distance, et de manière générale ça reste plus sécurisé qu’un simple mot de passe.
#2
Hey, ça marche comment si l’on n’a pas de smartphone?
Impossible de se loguer ?
Complètement parano par rapport à la collecte de données, je n’ai jamais accepté de donner mon numéro de téléphone portable pour les 2FA. Lorsque Microsoft l’avait imposé il y a quelques années (outlook, hotmail, etc.), j’avais fait une redirection la veille de la deadline et ils ont depuis laissé tomber puisque je peux toujours me connecter et qu’ils n’ont tjs pas mon numéro.
Quid ici si Google impose l’utilisation d’une appli pour se loguer et que l’on ne peut pas avoir d’appli ? :o
#2.1
tu peux utiliser une clé de sécurité type solokey
#2.2
l’impossibilité de me connecter à des autres ordi pas connu, étant assez casse bonbon si tu ne veux pas donner ton tel/info à google. Je me suis tourner vers un compte mail payant chez un fournisseur de mail.
du coup ça ma changé au début, c’est plus rugueux, mais on s’y fait :), et 0 pub reçu depuis mais c’est normal je ne distribue plus mon mail comme avant et je file un alias
#3
Le gros point négatif (sans prendre en compte le fait qu’il faut un deuxième appareil, ce qui n’est pas donné à tout le monde), c’est quand tu changes le dit appareil. Si tu mets l’A2F à partir de ton smartphone, quand tu le perds ou tu le changes, ca peut vite devenir galère.
Sans compter ceux qui obligent de passer par leur application exclusivement.
Si tu arraches le portables, le temps que tu te fasses courser, il sera re-verrouillé
Et pour visualiser les mots de passe enregistrés, il faut, le mot de passe du téléphone, ou l’emprunte ou le face ID, même s’il est déverrouillé. Ca ne me parait pas si simple qu’un simple arrachage de téléphone.
#4
kezako?
#4.1
en gros des clés usb qui génèrent un code d’authentification et que tu lies à tes différents comptes (qui supportent ça évidemment). Si la clé est dans le PC ça marche, sinon non
#5
Bon, la 2FA, ça a du sens aujourd’hui… Par contre, je suis en train de voir que Google ne permet pas d’utiliser une autre application que l’appli Google pour faire la 2FA : c’est un peu pénible, tous les autres sites proposent d’utiliser l’appli de son choix, à l’aide d’un QRcode. Mais pas Google.
#5.1
Google utilise du TOTP standard pour l’authentification par code donc on n’est pas obligé de passer par Google Authenticator pour s’authentifier. Je passe par FreeOTP par exemple, mais libre à toi de choisir l’application qui te plaît.
Il existe aussi des applications de génération de code compatible Windows ou Linux pour ceux qui ne voudraient pas l’avoir sur le téléphone.
Comme évoqué précédemment, on peut aussi passer par une clé d’authentification type Yubikey.
On peut aussi générer des codes de secours (à imprimer ou noter et conserver en lieu sûr).
Enfin, bref, il existe pas mal de solutions et on peut choisir celle que l’on souhaite par défaut.
Perso, j’ai Yubikey (par défaut) + FreeOTP + Codes de secours + invite sur mes périphériques Android (mais ça on ne peut pas le supprimer tant qu’on a un périphérique Android connecté avec son compte Google).
#5.2
Bin je viens de faire le test, quand je vais dans la validation en 2 étapes, il m’affiche mes smartphones Android sur lesquels je suis connecté avec mon compte Google, et j’ai un bouton “Afficher plus d’options” qui me propose
😭
Ou alors c’est dans un autre menu ??
#6
Attention avec hotmail, ils finissent par supprimer les comptes si personne ne s’est connecté dessus au bout d’un certain temps (j’avais 2 ans en tête, à confirmer).
#7
Je ne comprends pas trop. Que va t-il falloir encore donner à Google ?
2 questions :
Depuis mon poste linux sans mon téléphone (cassé, volé, perdu…) je pourrait pas me connecter ?
Même question mais en plus sur un nouvel ordi ?
Merci à ceux qui pourront m’éclairer.
#8
J’avais ouvert une boite mail chez un fournisseur Russe… Principalement spam, mais aussi login sur quelques forums, hélas depuis un bail maintenant ils me demandent systématiquement un n° de téléphone… que je ne leur donnerait jamais, pas folle la bestiole !
Résultat : je ne peux plus y accéder.
Autre boite inaccessible pour moi : everyone.net (avec du flash en page d’accueil !!!
) …Mais là c’est parce que ces espèces de…. ont tout mis en payant !
Alors que la partie gratuite était utilisée depuis des décades par des associations de quartiers ou humanitaires !
Dans un courrier, je leur ai demandé de faire la preuve qu’ils apportent une quelconque valeur ajoutée si on les compare aux comptes gratuits sur gmail, protonmail, yahoo… et surtout laposte.net… je n’ai jamais eu de réponse !
Parce que j’ai beau lire leur argumentaire foireux en long, en large et en travers, je ne comprends toujours pas pourquoi on devrait payer : qu’est-ce qu’ils ont de si fabuleux pour décider des
pigeonsclients individuels comme moi (attention : je ne parle pas ici des pros, je parle bien de particuliers) et des associations de bénévoles à payer pour quelque chose qui est gratuit ailleurs ?Et attention, ce n’est pas que je rechigne à payer pour accéder à ma boite mail (remplie de messages qui attendent patiemment depuis une décennie au moins… que je cède à leur chantage), c’est que je veux payer pour quelque chose. Et qu’est-ce qu’ils proposent comme service, ces allumés du flan, en échange d’euros ?
Rien. Quedale. Zebi la mouche. Leur site (en ruine) n’est pas sécurisé. Résultat de leur manoeuvre : tout leurs clients, y compris payants, se sont barrés. Cette société n’est plus qu’un fantôme.
#9
Pour Microsoft, ce qui est bien, c’est tu peux choisir plusieurs techniques 2FA en même temps (avec le choix de celle utilisée par défaut) :
Au moment du login, tu peux choisir quelle technique de 2FA tu veux utiliser, pas mal, non ?
#10
Google n’a besoin de ton numéro : si c’est un Android, il connaît déjà ton spyphone via ton compte Google (liaison Google Play et Gmail).
Empreinte !
(Comment peut-on confondre ces deux mots, alors qu’ils ne se prononcent même pas pareil ?!)
Tu dis ça à cause de ton pseudo ? Ou tu confonds le terme anglais pour « décennies » avec son faux-ami français qui ne désigne qu’une période de dix jours (et non pas ans) ?
#11
J’ai toujours peur que, suite à un incendie ou autre, je perde mon ordi et smartphone. Du coup, nouveau matériel et… impossible de me connecter à cause de la double authentification
#11.1
Tu peux imprimer des codes de secours à conserver dans une banque.
#12
…You’re right !!! I’m sorry to be so… “decalé” with the term “décades”, which seems to evoke “10” periods of times, but I’m not the only one who made the confusion, see here (in François ! (…Le Français ! Oui, c’est moi !
))
#13
Sait-on quand cette bascule doit avoir lieu?
Côté solutions, j’utilise KeePassXC sous windows et linuxet celui-ci sait parfaitement gérer le TOTP.
Je vais voir si je peux récupéter le secret généré par Google quand je vais convertir un compte gmail prochainement.
Dans tous les cas, il est conseillé de photographier le QR code qui sera généré sur le site de Google quand vous y passerez et l’imprimer sur un papier pour en assurer la sauvegarde.
Ce QR code de configuration ne pourra plus jamais être affiché par la suite (c’est le comportement général sur tous les sites qui mettent en place un deuxième facteur TOTP).
#14
Je ne connaissais pas FreeOTP.
J’utilise Duo Mobile généralement.
Mais ce qui est top, c’est encore la notification Push, plutôt que d’aller chercher un code à taper.
Le problème c’est que si tu veux ce système pour ton compte MS il faut MS authenticator, si tu veux qu’il fonctionne avec Google il te faudrait un Google Autenticator, pour bitwarden, cela fonctionne bien avec Duo mobile. j’y connais pas grand chose, mais c’est galère de ne pas en avoir un qui permet cela avec pas mal de plateformes.
#15
Je vois pas en quoi c’était une mesure attendue, c’était déjà disponible pour ceux qui le voulaient, donc ils n’attendaient pas.
Si c’est disponible par défaut, ça veut dire qu’on peut le désactiver ? Moi j’aime pas ça et j’en accepte les risques, et en plus j’ai pas envie de donner mon numéro de téléphone (pour Android j’utilise un compte séparé sans aucune synchro, qui ne sert qu’à ça et où je ne me connecte jamais).
#16
J’ai plusieurs comptes gmail que je ne peux plus utiliser, car créés il y a un bon moment, et qu’il faut désormais valider avec un numéro de téléphone (ce que je ne souhaite pas faire). Heureusement, j’avais paramétré une redirection vers une adresse tierce, donc je reçois toujours les messages (c’était l’usage principal, avant de pouvoir rédiger/répondre).
C’est dommage que le numéro de téléphone soit la seule solution pour confirmer un compte.
#17
Même en cas de destruction de ton appareil, à partir du moment où t’en récupère un nouveau avec le même numéro de téléphone, tu peux facilement retrouver ton compte 2FA (avec Authy, l’appli que j’utilise, c’est super simple).
Authy propose également un backup dans le cloud, pour faciliter la synchro et le changement d’appareil. Backup protégé par mot de passe, mais avec du Bitwarden également dans le cloud, même si tu perds tous tes appareils, suffit de se rappeler de ta passphrase pour pouvoir facilement tout récupérer.
#18
Ah bah….
C’est comme Teams sur le tel qui demande une 2FA en envoyant un SMS sur ce même …. tél.
Entre Google qui me demande ma date de naissance par ce que la loi les y oblige (quelle loi ??? impossible à trouver… et j’ai pas envie de chercher sur google ce qu’ils sont incapables de fournir) et ça….
Je crois que moi la 2FA passe par l’email. Donc gmail envoie un mail à ma boite pas gmail, qui est ensuite lue par gmail… Très intéressant comme concept
Ingénieux.
#19
Le coup de la date de naissance j’ai pas compris non plus. J’ai rien donné, j’ai plus ce pop-up.
J’ai franchement badé sur le coup. J’me suis dis merde, j’ai installé un truc dernièrement ?
Après quelques recherches infructueuses sur différents moteurs de recherche, j’ai mis cette histoire de côté.
Si quelqu’un a des infos, on est preneur.
#20
Oui donc c’est de l’authentification à 2+1n facteurs.
Disperser les mots de passe ne dit pas si ils sont salés….
#21
Sous réserve que tu utilises le même compte ?
Perso j’ai un compte google par appareil, tous décorrélés.
Moi cette histoire me dérange car il me semble qu’il s’agit essentiellement d’un prétexte pour Google de récupérer , de force, ton n° de tél (en général t’en a q’un ou deux max) , et ainsi repérer les gens comme moi avec plusieurs comptes . Dans l’objectif d’améliorer le traçage , voire, un de ces jour (ça, ça parait évident) d’annoncer que le multicompte est interdit et que l’on doit tous avoir un et un seul compte google par personne .
Perso un truc que je trouve insupportable c’est que google te colle une alerte à chaque changement d’IP. Comme si il était “suspect” de changer d’IP (je parle ici spécialement pour l’IMAP)
Le but étant de te faire lâcher Thunderbird pour le navigateur web, plus facilement traçable.
La politique du “nudge” appliquée au privé :-)
#22
C’est insupportable ces pratiques : le 2FA n’est qu’un moyen pour forcer à donner son numéro de téléphone !
Je ne comprends pas que Next Inpact ne comprenne pas la supercherie : Le 2FA ne sécurise presque rien, et n’apporte que des pb à l’utilisation :
Et à l’usage la procédure et 2x plus longue taper son mot de passe, chercher son téléphone, valider… Pour rien et sans aucun retour arrière-possible.
J’ai fait l’erreur d’essayer Microsoft Authentificator au boulôt : la case 2FA est activable mais il est impossible de la désactiver ensuite ! Je dois me taper cette daube inutile à chaque connexion ou donner mon numéro de portable pour recevoir un SMS tout aussi inutile !
#22.1
Ouais dire dans la news que c’était attendu de pieds ferme… par qui? par le rédacteur de la news? On est plus libre de choisir la sécurité qu’on souhaite?
On comprend ce qui se passe quand on lit entre les lignes de la news. Obligation d’installer l’appli dédiée à l’authentification, rester connecté à son compte et confirmer le numéro de tel de la totalité des comptes (le multicompte étant encore autorisé sous gmail, surement plus pour longtemps) notamment ceux qui servent rarement, pour y associer une identité nette.
#23
J’avoue que, loin d’être une chose appréciable, pour les « vieux de la vieille » qui sont du genre à se déconnecter des sites demandant identification dès qu’ils ont fini de les consulter, l’authentification à deux facteurs est une véritable plaie dont le seul but véritable semble être de te forcer à rester identifié‧e en permanence, même quand t’as fini d’avoir besoin de visiter le site, tellement c’est une galère pas possible pour se réidentifier ensuite ! Il y a un an, Twitch me faisait le coup : je veux m’identifier sur mon compte, ben non ! Je dois aller renseigner un code numérique à 6 chiffres envoyé par e-mail, sinon GTFO ! Heureusement que je pouvais le copier-coller d’un coup, mais je veux me connecter, crétin de Twitch ! M’empêche pas de le faire ! Du coup, je n’ose plus me déconnecter et encore moins virer les cookies liés à Twitch, et ça, ça fait vraiment pas plaisir !
Et on raconte que le but de l’informatique est de simplifier la vie des gens ? Ben, le 2FA, lui et autres m××des comme les Captchas, ne font rien d’autre que la compliquer et faire courir le risque de t’enfermer dehors de « chez toi ». Donc, en ce qui me concerne, aussi longtemps que le choix me sera laissé, je n’accepterai jamais cette
!!!
#24
Avec la généralisation des dispositifs antipistage dans les navigateurs, hors Chrome bien sur, ça doit devenir plus difficile de profiler précisément les gens avec les spywares “classiques” du coup faut trouver d’autres solutions comme Floc ou obliger les gens à donner leur(s) numéro(s) de téléphone pour faire la liaison entre tous les moyens de les pister, avec le prétexte de la sécurité en guise de vaseline pour que ça passe mieux
(un peu comme le gouvernement qui nous assomme de taxes soit disant écologique alors que dans le même temps par chez moi l’ONF, donc les services de l’état, défonce toutes les forêts avec des coupes à blanc partout et projette de bousiller des hectares de terres agricoles pour implanter une annexe de Rungis que personne n’a demandé)
#24.1
Dans le triangle de Gonesse la vaseline sera une Durablex®.
#25
J’pense que le multicompte peux rester “autorisé” tant que Google dispose d’un moyen infaillible pour corréler ces comptes comme un seul en terme de publicité, de manière à pouvoir vendre des services publicitaires encore plus ciblés et qualitatifs (et donc plus cher) à ses clients (les annonceurs)
#26
Le pire c’est qu’ils viennent de se faire jeter pour la construction d’un grand quartier d’affaire inutile au même endroit précisément parceque ça ne sert à rien et que ça aurait eu un énorme impact sur l’écologie du coin et ils remettent ça dans la foulée avec une soit disant annexe pour Rungis qui n’a pas plus d’utilité (surtout avec un réseau routier alentour déja saturé presque en permanence et donc incapable d’absorber le surplus de traffic), à croire que pour certains les terres agricoles c’est de l’espace perdu qu’ils faut absolument bétonner au plus vite pour le rendre rentable …
ou que sentant le vent de la débâcle arriver aux prochaines élections ils veulent se dépêcher de laisser une trace de leur passage (même si c’est une trace de pneu 
)
#27
… ça et la 2FA.
#28
Côté youtube, je suis tombé sur une vidéo pour laquelle ils demandaient une carte d’identité pour la voir… Je n’ai pas compris…
#29
Mais c’est un vraie question l’histoire de la date de naissance demandée en pop-up sur mon tél Android. RIEN de “bizarre” d’installé, correctif de sécu’ du 05/04/21. J’essai au max d’avoir le cul propre pour éviter piratage ou autre saloperie.
En fait je sais pas si votre message n’est pas inonique, il n’y a pas longtemps j’ai pas marché, j’ai couru x)
Du coup j’veux pas passer pour un idiot une fois de plus !
Si c’est pas ironique, c’est étrange !
Google est chiant depuis quelques semaines avec leur putain de cookie “consent” dès que tu go Google ou YouTube….
#30
J’ai activé le 2FA sur mon compte Google depuis plusieurs mois, mais pas avec leurs appli propriétaire, je reçois une notification, ce qui est bizarre est que je peux utiliser mon appli de base qui est Aegis Authenticator mais Google m’envoie quand même la notif.
#30.1
#31
“Censure, Google exige ton identité pour certaines vidéos pour prouver que tu es majeure, c’est débile et la sélection hyper relatif (ça ne peut l’être autrement), je ne sais pas exactement comment ça fonctionne et ce n’est pas nécessairement l’auteur de la vidéo qui l’active, il m’est arrivé d’en tombé sur une censuré en Europe alors que l’auteur qui vit aux US n’a imposé aucune censure.”
Du coup ils demandent de te connecter seulement, nan ?
Maintenant ils peuvent carrément te demander de valider ton âge de manière officielle ?!
Je suis assez dubitatif là dessus. Ce serait dingue.
Les gosses peuvent voir du porn ou participer à des jeux mortels via tiktok ou autre, et de l’autre côté on te demande une pièce d’identité ?
Y’a des trucs pas logiques j’ai l’impression.
Encore que, du coup, il peut y avoir une certaine logique qui en ressort.
Bref.
#32
Pas du tout ironique, je te rassure.
#33
#34
Wouah, je me sens carrément moins paranoïque en fait x)
Je connais pas le dossier extrêmement bien, mais la RGPD dans l’histoire, tout ça, passe ?
Parce que bon, on est pas les moins informés ici je pense. On est pas sur des piédestals non plus mais on est plutôt paumé sur ce genre de question et ça mène à réflexion.
Ca craint je trouve. …
#35
Tant que tu gardes le même numéro de téléphone, le changement d’appareil ne pose pas problème. Ensuite, le 2FA n’impose pas l’utilisation d’un téléphone (c’est juste le plus commun pour la plupart des gens, qui en possèdent déjà un). Tu peux par exemple utiliser une application 2FA sur un autre PC ou, plus simple encore, posséder une clé physique, genre YubiKey ou Nitrokey.
Tu devrais opter pour une clé physique, genre YubiKey ou Nitrokey. Comme ça, quand on te demande de t’authentifier, il te suffit de l’insérer dans un port USB ou de la passer au dessus d’un lecteur NFC. Plus besoin de manipuler ton mobile et de taper des codes.
#35.1
Je fais avec ce que me fourni mon employeur : un PC portable et un smartphone, je ne vais pas acheté une clé pour pouvoir travailler.
D’ailleurs la Yubikey je n’ai j’amais vu aucun système 2FA la proposer chacun vient avec son système propriétaire différent. Pour le boulot j’ai deux tokens logiciel + microsoft authentificator, qui réclament chacun empreinte et /ou mot de passes différents pour se déverrouiller (à ajouter aux mots de passe de VPN, et de windows), bref il me faut 15 à 20min chaque matin pour tout brancher. (quand tout va bien)
#36
C’est le cas, pour certaines vidéos que leur algorithme juge … on sait pas trop quoi en fait Youtube me demande non seulement de me connecter mais en plus d’envoyer une copie de ma pièce d’identité pour valider mon age (pourquoi pas ma CB aussi pendant qu’ils y sont
), autant dire qu’ils peuvent toujours attendre.
#37
En même temps, Tiken Jah Fakoly l’avait dit, “Plus rien ne m’étonne”.
Ca me rapelle l’époque gilet jaune où je partageais pas mal de contenu sur facebook, compte suspendu à trois reprise avec demande de pièce d’identité. En attendant quelques jours, finalement il me demandait une photo, j’ai pensé à la vérification avec les métadonnées, du coup je leur filais une originale déjà posté, le compte était débloqué dans la journée.
Quand tu geeks sur un final fantasy avec connexion FB car sinon pas de save en cas de problème, bah ça fou les boules.
Au final tant mieux de m’avoir emmerdé, suppresion de compte FB avec mail de demande de suppression de donnée (oui, je rêve, mais bon, au moins je l’ai fais) et je joue plus sur le tél x)
Une bonne vieille PSP fait trèèèèèèès bien le boulot pour jouer en mode nomade.
#38
Ça, c’était avant, de devoir se connecter pour débloquer les vidéos marquées 18+. Maintenant, il faut aussi confirmer qu’on a l’âge de les regarder, car on est désormais tous considérés comme mineurs par défaut sur Internet. La super logique : les sites Web d’origine US sont interdits aux moins de 13 ans, mais il faut malgré tout que le Web librement accessible ne le soit que pour les moins de 13 ans uniquement…
Et comme il a été dit, ça ne touche pas que les vidéos que les posteurs ont marquées exprès 18+ : Frédéric Molas (Joueur du Grenier) a dû récemment poster des versions « familiales » de ses dernières vidéos car YouTube les lui mettait de force en 18+… Autant dire que pour les revenus publicitaires (car il ne vit que de ça et des partenariats), c’est pas l’idéal.
#39
J’ai moi-même voulu activer le 2FA chez Google, mais impossible sans numéro de téléphone. Hors de question que je le leur donne.
Google développe l’application “Google Authenticator” et y’a même pas moyen de l’utiliser en première intention ; faut d’abord activer le 2FA avec un numéro de téléphone pour qu’ensuite, seulement, on puisse basculer du mobile vers ce système.
J’espère qu’ils vont revoir leur copie et autoriser le code à 6 chiffres actualisé toutes 30 sec d’emblée.
#40
Ils l’ont déjà
#40.1
Nope
#41
Pareil pour J’suis pas content TV il y a quelques semaines. Sans raison apparente ni explication.