Google aurait l’intention d’abandonner les SMS comme méthode d’authentification à deux facteurs pour Gmail.
Et de passer à une approche plus sûre utilisant les QR codes.
Réduire les abus de SMS
Dans une conversation par courrier électronique avec Forbes publiée dans un article paru dimanche dernier, Ross Richendrfer, porte-parole de Gmail, a décrit ce changement à venir.
Au lieu de saisir votre numéro et d’obtenir un code à six chiffres par SMS, vous verrez apparaître un QR code que vous scannerez avec l’appareil photo de votre téléphone. M. Richendrfer a déclaré que Google procédait à ce changement afin de « réduire l’impact de l’abus généralisé des SMS ».
Il est fortement recommandé d’utiliser l’authentification à deux facteurs pour vos comptes en ligne afin de vérifier votre identité et de vous protéger contre les connexions suspectes ou malveillantes. Mais certaines formes d’authentification à deux facteurs sont plus efficaces que d’autres. Une méthode courante consiste à recevoir un code de confirmation par SMS. Cependant, ce type de communication non chiffrée peut être exploité par les cybercriminels.
Pourquoi les QR codes ?
Lors de l’entretien, M. Richendrfer et Kimberly Samra, responsable des communications de sécurité chez Google. Ils ont mis l’accent sur les vulnérabilités de l’authentification par SMS. Un escroc peut falsifier un tel message pour vous inciter à fournir le bon code de vérification. En échangeant la carte SIM, un opérateur de téléphonie mobile peut être amené à transférer le numéro de téléphone de la victime. Ce qui permet à l’escroc de recevoir tous les SMS.
C’est pourquoi une application dédiée à l’authentification, telle que Microsoft Authentication ou Google Authenticator, constitue une alternative plus sûre. Les clés de sécurité physiques sont également beaucoup plus sûres que les SMS. Mais ces méthodes peuvent prendre du temps à mettre en place. Cela explique sans doute pourquoi Google a opté pour une approche plus simple, mais néanmoins plus solide, celle des QR codes.
Actuellement, Google utilise la vérification par SMS pour deux raisons, la sécurité et le contrôle des abus.
- Le premier objectif est de s’assurer que l’entreprise traite avec le même utilisateur que lors des interactions précédentes.
- Le second est de s’assurer que les escrocs n’abusent pas des services de Google. Un exemple de ce dernier cas est celui des cybercriminels qui créent des comptes Google pour envoyer des spams et des logiciels malveillants.
Une autre astuce utilisée par les escrocs est ce que l’on appelle le pompage de trafic (traffic pumping). « Les fraudeurs tentent d’inciter les fournisseurs de services en ligne à envoyer un grand nombre de messages SMS à des numéros qu’ils contrôlent, afin d’être payés à chaque fois qu’un de ces messages est délivré », expliquent Richendrfer et Samra.
Il y a des avantages
Bien que les QR codes ne soient pas aussi idéaux que les applications d’authentification ou les clés de sécurité physiques, ils offrent quelques avantages, selon Google.
- Tout d’abord, les QR codes éliminent le code d’authentification numérique, de sorte qu’il n’y a pas de code qu’un escroc puisse intercepter ou exploiter.
- Deuxièmement, ils ne dépendent pas des protections anti-abus ou anti-échange de SMS éventuellement mises en place par votre opérateur de téléphonie mobile.
« Les codes SMS sont une source de risque accru pour les utilisateurs », a ajouté M. Richendrfer. « Nous sommes heureux d’introduire une nouvelle approche innovante pour réduire la surface d’attaque des pirates et protéger les utilisateurs contre les activités malveillantes ».
Quand cette transition pourrait-elle avoir lieu ?
M. Richendrfer n’a pas donné de calendrier. Il dit : « Attendez-vous à ce que nous en disions plus à ce sujet dans un avenir proche. »
Mais compte tenu des faiblesses et des limites de l’authentification par SMS, ce changement ne saurait intervenir trop tôt.