Google ajoute à ses services une couche de protection physique

Mieux protéger les comptes utilisateurs. C’est l’ambition affichée de Google avec son programme Advanced Protection. Celui-ci s’adresse à ceux « qui sont confrontés à un risque élevé d’attaque, et sont prêts à renoncer à un peu de confort pour plus de protection de leur compte Google personnel ».

Et cela commence ainsi par l’utilisation d’une authentification à double facteur basé non pas sur un code temporaire à usage unique, transmis par SMS ou connu via une application dédiée comme Google Authenticator ou Authy, mais sur une clé dite de sécurité porteuse d’une signature cryptographique, conforme au standard U2F de l’alliance FIDO, à l’instar des Yubikey. Chrome les supporte depuis trois ans.

Ce nouveau mécanisme d’authentification forte vise à protéger non seulement contre le détournement d’identifiants, par hameçonnage par exemple, mais aussi contre les attaques hautement ciblées s’appuyant sur le détournement des codes à usage unique transmis par SMS.

Plus loin, le programme Advanced Protection de Google limite l’accès complet à Gmail et à Drive à des applications spécifiques. Pour l’heure, seules applications du géant du Web peuvent disposer d’un tel accès. Mais d’autres pourraient également en profiter par la suite. Côté face, une telle disposition permet d’empêcher une application malicieuse de profiter des délégations de droits au bénéfice de tiers pour dérober des données. Côté pile, elle empêche pour l’instant par l’exemple l’utilisation d’applications de messagerie tierces, comme Microsoft Outlook mobile.

Enfin, le programme Advanced Protection prévoit un processus renforcé de récupération de compte en cas de perte/oubli de mot de passe, afin de limiter les risques de détournement de compte par un tel subterfuge.  

Pour l’heure, ce nouveau programme ne vise que les comptes individuels. Mais Google rappelle que les administrateurs G Suite et Google Cloud Platform peuvent déjà forcer l’utilisation des clés U2F pour l’authentification, et également créer des listes blanches d’applications autorisées à accéder aux données utilisateurs en s’appuyant sur les mécanismes d’OAuth.