Devant la recrudescence des attaques de phishing, notamment contre les entreprises, l’authentification à deux facteurs gagne du terrain. Google a notamment généralisé en interne l’usage de clé USB physique, avec un vrai succès.
Le phishing est peut-être l’une des cyber-attaques les plus basiques, elle reste diablement efficace, et a permis à nombre de pirates d’accéder à des comptes protégés par de simples mots de passe, notamment des comptes professionnels.
La clé USB physique assure une double authentification de haut niveau
Pour lutter contre ces attaques, de nombreuses entreprises ont décidé de généraliser le principe de la double authentification : pour accéder à son compte, un professionnel doit, en plus de son mot de passe, donner une seconde preuve de son identité. Il peut s’agir d’une clé virtuelle, d’un sms envoyé sur son téléphone portable, ou d’une clé physique.
De nombreux experts en sécurité estiment que cette dernière solution est de très loin la plus efficace pour lutter contre le phishing. Google a récemment communiqué récemment à ce sujet, expliquant que depuis 2017 la firme de Mountain View avait généralisé en interne l’usage de clés de sécurité comme base de tout accès à un compte Google.
Chez Google, zéro phishing depuis l’adoption des clés de sécurité U2F !
« Les utilisateurs peuvent être invités à s’authentifier à l’aide de leur clé de sécurité pour différentes applications / raisons. Tout dépend de la sensibilité de l’application et du risque de l’utilisateur à ce moment-là » expose le porte-parole du géant du net.
L’entreprise a choisi des clés de sécurité utilisant le protocole U2F, qui génère une nouvelle clé d’authentification à chaque connexion, assurant un très haut degré de confidentialité. U2F est une technologie émergente, open source, et plébiscité par les sites les plus en pointe sur la protection des comptes, comme Dropbox, GitHub, Facebook et donc Google.
Ce choix technologique est en tout cas un succès, car, depuis l’adoption de ces clés U2F, aucun des 89 000 employés de Google n’a été victime de phishing.