Aucune excuse: il est temps d'activer l'authentification en deux étapes

Si vous avez regardé le monde de la technologie ces deux derniers jours, vous serez au courant du malheur récent de l’écrivain de Wired, Mat Honan, qui a succombé à une attaque de piratage dévastatrice qui a anéanti ses comptes iCloud, Twitter et Google. plusieurs appareils dans le processus.

Dans le cas de Honan, l'attaque a été rendue possible par des informations personnelles compromises (mais publiquement disponibles), ainsi que par des défaillances du support client Amazon et Apple, plutôt que par une attaque par force brute ou un programme malveillant traditionnel. Toutefois, le fait qu’il n’utilisait pas l’authentification en deux étapes de Google pour protéger son compte constituait un élément crucial de la décision des attaquants de supprimer non seulement ses comptes et ses appareils Apple, mais également ses outils Gmail et Google.

De tels récits soulignent toujours l'importance des précautions de base de la sécurité numérique. Et l'une des mesures les plus élémentaires, mais les plus efficaces, que vous pouvez prendre pour protéger votre compte consiste à activer la procédure en deux étapes.

Lisez la suite pour savoir comment et pourquoi vous devriez le faire.

Qu'est-ce que l'authentification en deux étapes?

L'authentification en deux étapes ajoute une couche de sécurité supplémentaire en vous demandant de saisir un code à six chiffres généré par Google et envoyé à votre téléphone lorsque vous vous connectez à votre compte. Cela signifie que même si votre mot de passe est déchiffré, votre compte doit toujours être en sécurité. Il est fort probable que quiconque tente d'accéder à votre compte de loin ne dispose pas de votre téléphone, il ne peut donc pas obtenir ce code secondaire.

Vous pouvez définir des codes de vérification à six chiffres à envoyer par SMS. Si vous êtes un utilisateur d’Android, de BlackBerry ou d’iPhone, vous disposez d’une application appelée Google Authenticator, que vous pouvez utiliser pour générer un code instantanément. Ces applications fonctionnent en accédant à votre compte Google sur votre téléphone, puis en scannant un code à barres secret à l'écran à l'aide de la caméra intégrée du téléphone.

Qu'en est-il des appareils Android et de certains ap ps?

Parfois, une application ou un appareil utilisant votre compte Google ne peut pas vous demander un code de vérification ou il n'est ni pratique ni souhaitable de le demander. L'exemple principal ici est les appareils Android. Connectez-vous à l'un d'entre eux avec l'authentification en deux étapes activée et vous devrez utiliser un «mot de passe spécifique à l'application». Ce sont des mots de passe qui permettent à une seule application ou appareil d'accéder à votre compte Google à tout moment. Vous pouvez y accéder en accédant à accounts.google.com, en cliquant sur «Sécurité» dans la barre latérale, puis sur «Autoriser les applications et les sites».

Oui. Cette partie est une douleur. Mais c'est important à faire.

Par exemple, si vous possédez une tablette Galaxy Nexus et une tablette Nexus 7, vous devez en créer une pour le téléphone et une autre pour la tablette. Vous n'avez plus qu'à la saisir une fois sur l'appareil que vous utilisez.. Si vous devez empêcher l’accès à votre compte Google de quelque manière que ce soit, vous pouvez simplement cliquer sur «révoquer» à côté du nom de l’appareil. Et comme ce mot de passe comporte 16 caractères et ne peut être utilisé que par une application ou un appareil à la fois, tout est gardé en mode sécurisé.

Contingences

L'authentification en deux étapes est bonne, mais elle n'est pas sans faille. Que se passera-t-il si votre téléphone est volé, par exemple? Pour faire en sorte que votre compte ne soit pas bloqué en cas d'imprévu, Google a quelques éventualités en place:

• Lorsque vous vous inscrivez pour la première fois à une authentification en deux étapes, il vous est demandé de fournir des numéros de téléphone de secours, que vous pouvez utiliser pour vous procurer un numéro de vérification à six chiffres en cas d'indisposition de votre téléphone principal.
• Vous recevrez également un ensemble de codes de sauvegarde, chacun permettant de vous connecter une fois. Si votre téléphone principal n'est pas disponible et que vous ne parvenez pas à accéder à l'un de vos numéros de secours, cela vous permettra de vous connecter une fois et de tout arranger.
• Contrairement à ce que l'on pourrait penser, l'application Google Authenticator pour Android ne nécessite pas de connexion Internet pour fonctionner. Même en mode avion, il générera un code de vérification fonctionnel.

En deux étapes, comment avez-vous pu aider Mat Hona n et en quoi cela pourrait-il vous aider?

Les gaffes du service client d'Amazon et d'Apple (combinées au manque de sécurité en deux étapes d'iCloud) garantissaient déjà que les iPad, iPhone et Macbook de Mat Honan étaient bien portés. Cependant, l'activation de l'authentification en deux étapes. aurait pu enregistrer son compte Google et les comptes Twitter qui lui étaient associés.

Supposons que l’authentification en deux étapes ne soit pas activée. Si vous voulez essayer de récupérer votre mot de passe (parce que vous êtes idiot et l'avez oublié), vous disposez de quelques options pour récupérer votre compte. Cela implique notamment de vous laisser envoyer un e-mail de récupération à une adresse e-mail alternative que vous avez déjà liée, ce qui n’est que partiellement masqué sur la page de récupération. C’est ainsi que le pirate informatique s’est retrouvé dans le compte de Mat Honan - sans passer par deux étapes, son adresse de récupération, m******[email protected], était facile à deviner. À partir de là, il s'agissait simplement de profiter des failles dans la sécurité du service client d'Amazon et d'Apple pour prendre en charge ce compte, puis d'envoyer un e-mail de réinitialisation du mot de passe à cette adresse me.com.

Si l’authentification en deux étapes avait été activée, le pirate aurait plutôt vu un message comme celui-ci lorsqu’il tentait de récupérer un mot de passe - un obstacle immédiat à la tentative de piratage du compte Google de Honan.

Les journalistes, en particulier ceux qui travaillent dans le domaine de la technologie, ne sont pas des cas normaux d'utilisation de comptes téléphoniques ou Web, donc si vous ne diffusez pas votre nom sur Internet, vous risquez moins d'être victime de ce genre de manigances..

Néanmoins, il s’agit d’une précaution simple et facile à prendre pour tous ceux qui possèdent un compte Google, en particulier ceux qui investissent beaucoup dans l’écosystème de Google. En fonction de votre utilisation de Gmail, un attaquant qui en prend le contrôle pourrait effectivement disposer des clés principales de votre vie numérique. De plus, ils pourraient accéder à tous les achats et à tout autre contenu associé à votre compte Google. Si vous êtes un grand utilisateur d'Android, cela pourrait représenter une quantité considérable de choses. Pire encore, s’ils retirent votre compte, vous risquez de perdre tout cela.

Donc, malgré les inconvénients mineurs et occasionnels, veuillez activer l'authentification en deux étapes sur votre compte Google. Tu nous remercieras quand personne ne pirate ta merde.