Google permet d'utiliser un iPhone pour la double authentification (2FA)... seulement sous Chrome

Google permet d’utiliser un iPhone pour la double authentification (2FA)… seulement sous Chrome

Un standard, quel standard ?

Avatar de l'auteur
David Legrand

Publié dans

Logiciel

16/01/2020 3 minutes
5

Google permet d'utiliser un iPhone pour la double authentification (2FA)... seulement sous Chrome

La double authentification (2FA) est désormais présente dans tous les grands services. Elle permet de compléter le mot de passe par un code obtenu à travers un élément physique en notre possession. Chez Google, cela peut désormais être un iPhone. Tout du moins, si vous utilisez Chrome.

Depuis des années, Google propose la double authentification pour ses comptes. Elle peut s'activer de différentes manières, comme via un code reçu par SMS, une clé de sécurité, etc. Dans ce dernier cas, on connaissait les modèles USB, Bluetooth ou encore NFC. Google a pour le moment surtout misé sur les deux premiers.

Mais désormais, nos appareils du quotidien embarquent des éléments biométriques et autres enclaves disposant d'un niveau de sécurité suffisant pour être utilisés comme l'élément principal d'une procédure de double authentification (2FA). C'est notamment le cas des derniers appareils sous iOS.

En complément ce qui avait déjà été mis en place sur Android, Google vient donc d'ouvrir cette possibilité aux iPhone, sous conditions. Voici un petit guide vous expliquant comment faire.

Activer la double authentification sur votre compte Google

Pour cela, il faut tout d'abord que votre compte Google soit réglé de manière à exiger une double authentification. Si ce n'est pas déjà le cas, faites-le ! C'est en effet une bonne manière de vous protéger contre une éventuelle fuite de mot de passe, l'attaquant devant alors obtenir un code à usage unique qui sera en votre seule possession.

Pour le moment, ce n'est pas possible via la section consacrée à la Validation en deux étapes des paramètres de sécurité du compte. Seuls ceux qui ont un appareil sous Android verront ici la possibilité d'ajouter la « clé de sécurité intégrée de votre téléphone », Google précisant qu'elle « peut être utilisée de la même façon qu'une clé de sécurité Bluetooth ou USB ».

Sous iOS, il faut passer par la nouvelle version de l'application Smart Lock, qui gère la double authentification auprès de ses services dans l'écosystème mobile d'Apple. 

Au démarrage, elle vous proposera d'utiliser la clé de sécurité de votre appareil pour la connexion à votre compte Google. Au passage elle vous demandera des autorisations pour le Bluetooth, ce qui n'est pas nécessaire dans ce mode de validation. Idem pour les notifications, qui seront, elles, utiles.

Google 2FA iPhoneGoogle 2FA iPhoneGoogle 2FA iPhoneGoogle 2FA iPhone

2FA à la Google : uniquement fonctionnelle sous Chrome

Mais il y a un détail que Google a « oublié » de préciser au sein de ses notes de version, la surprise étant réservée pour la fin de la procédure d'association : cette fonctionnalité n'est exploitable que via Chrome. Comme trop souvent, la société exploite donc ici son écosystème logiciel, et une fonctionnalité de sécurité, pour favoriser son propre navigateur alors que des standards existent en la matière, comme FIDO2 et WebAuthn.

Dans la pratique, si vous utilisez Chrome depuis votre appareil mobile ou votre ordinateur de bureau, vous serez par défaut renvoyé vers la procédure exploitant Smart Lock. Une notification apparaîtra sur votre téléphone. Après l'avoir déverrouillé, vous serez connecté à votre compte Google si vous validez la demande de connexion.

Par contre, si vous utilisez un autre navigateur, même sur une base Chromium, c'est la procédure classique qui s'enclenche.

Google 2FA iPhoneGoogle 2FA iPhoneGoogle 2FA iPhoneGoogle 2FA iPhone

5

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Activer la double authentification sur votre compte Google

2FA à la Google : uniquement fonctionnelle sous Chrome

Commentaires (5)


Je ne comprends pas ce que ça change par rapport à la double authentification avec l’application Google, qui elle fonctionne depuis d’autres navigateurs.



Je comprends que ça utilise l’enclave sécurisée du téléphone (ce que ne fait pas l’appli Google), mais coté « expérience utilisateur » (une notification, une confirmation de connexion), je ne vois pas la différence.


Dans un cas tu es dépendant de l’implémentation logicielle de l’application Google qui génère un code à usage unique temporel (de mémoire). Là ça repose sur la mécanique propre à l’iPhone et son enclave. Donc dans la pratique on reste sur une solution avec notification, mais sans doute une meilleure implémentation. Dans tous les cas l’utilisateur a le choix, c’est le principal <img data-src=" />&nbsp;








tibubu257 a écrit :



Je ne comprends pas ce que ça change par rapport à la double authentification avec l’application Google, qui elle fonctionne depuis d’autres navigateurs.





Ca communique en bluetooth entre Chrome & l’iPhone: c’est une clef de sécurité où la connexion Internet ne parait pas nécessaire (à voir dans les faits).



Je trouve l’idée séduisante, même si j’aurais aimé que Google fasse reconnaitre un téléphone Android comme le même genre d’enclave…



Non, le Bluetooth n’est pas utilisé pour la validation par l’iPhone comme dit dans l’article (on le voit mentionné dans le texte, mais c’est uniquement un reliquat de la procédure pensée au départ pour les clé de sécurité tierces en Bluetooth comme celles de Feitian)


ahhh ok c’est plus clair !

Merci :) :)