Les mots de passe ne suffisent plus à garantir la sécurité de nos comptes. C’est en tout cas le constat de Google, qui souhaite imposer une nouvelle couche de sécurité à ses services. À compter du mois prochain, des millions d’utilisateurs vont devoir utiliser leur smartphone pour se connecter à Google Docs, Gmail et Google Agenda.
Les mots de passe, un futur vestige du passé
Dès le 1er novembre, la double authentification sera obligatoire pour 150 millions d’utilisateurs de Google et 2 millions de créateurs sur YouTube. Dans un post de blog, le géant du Web explique :
“Pour la plupart d’entre nous, les mots de passe sont la première ligne de défense de nos vies numériques. Cependant, gérer un ensemble de mots de passe forts n’est pas toujours pratique, ce qui pousse beaucoup de gens à utiliser des raccourcis (exemple : le nom du chien plus une date d’anniversaire), ou de négliger les bonnes pratiques en la matière, et cela les expose à des risques en ligne.”
Il est vrai qu’utiliser un mot de passe du type “123soleil” n’est pas ni conseillé, ni sécurisé. Et si Google a fait des progrès en mettant en place une gestion du trousseau plus simple (Chrome peut générer et stocker un mot de passe fort à votre place), cette méthode d’identification prouve régulièrement qu’elle a de fortes failles.
En effet, en cas de piratage, un hacker peut faire à peu près ce qu’il veut de votre identité et de vos documents numériques. C’est là qu’intervient l’authentification forte.
La double authentification : qu’est-ce que c’est ?
L’authentification forte, aussi appelée authentification à double facteurs ou authentification en deux étapes ne se substitue pas aux mots de passe mais vient en complément de ces derniers. Fonctionnant (généralement) en tandem avec un smartphone, cette méthode d’authentification peut prendre plusieurs formes :
- un code reçu par SMS/mail
- un code de validation temporaire généré par une application (Authy, Authenticator...)
- une notification à valider sur le smartphone (Google Prompt, Steam Guard, etc.)
Ces codes et autres notification sont, vous l'aurez compris, à entrer/à valider sur le smartphone après avoir inséré son mot de passe. Déjà proposée depuis plusieurs années sur divers services de Google et ailleurs, la double authentification a un avantage de taille : elle nécessite une action physique humaine effectuée dans un laps de temps très court.
Concrètement, si votre mot de passe se fait hacker, votre pirate informatique aura donc besoin d’être en possession de votre smartphone et d’être en mesure de le déverrouiller. Autant dire qu’il va avoir besoin de beaucoup de temps et de motivation pour mettre la main sur les photos de votre chien ou sur vos précieuses correspondances...