Google vient d'annoncer que tout smartphone – ou téléphone intelligent -  fonctionnant sous Android 7.0 (Nougat) ou une version plus récente peut maintenant être utilisé comme clé de sécurité matérielle pour l'authentification à deux facteurs (2FA).

Disponible en version bêta pour le moment, la nouvelle fonctionnalité vise à fournir un facteur d'authentification supplémentaire et à protéger les utilisateurs de comptes Google contre le hameçonnage et autres attaques qui tentent de voler les identifiants de connexion des personnes. Il peut être utilisé pour protéger vos comptes Google personnels, ainsi que vos comptes Google Cloud professionnels.

Il y a quelques exigences de base pour utiliser votre smartphone comme une clé de sécurité basée sur FIDO2, en plus d’utiliser Android 7.0 ou une version plus récente. Tout d'abord, votre téléphone doit être doté des services Bluetooth et de localisation. De plus, vous aurez besoin d'un système d'exploitation Chrome compatible Bluetooth, d'un ordinateur MacOS X ou Windows 10 et d'utiliser Google Chrome.

Pour activer la nouvelle fonctionnalité, vous devez ajouter votre compte Google à votre téléphone, vous assurer que vous êtes inscrit à la vérification en deux étapes/2SV (terme de Google pour 2FA), cliquer sur l'option « Ajouter une clé de sécurité » dans vos paramètres 2SV et choisir le téléphone intelligent approprié. Google fournit également un guide pratique détaillé pour le processus d'installation.

Source : blog.google.com

Un facteur supplémentaire

L'authentification à deux facteurs est un moyen très utile d'ajouter une couche supplémentaire de sécurité aux comptes en ligne en plus de votre mot de passe - et ce, en toute simplicité. En fin de compte, même si un cybercriminel vole votre mot de passe, il ne pourra toujours pas accéder à votre compte à moins qu'il ne possède également le deuxième facteur.

Il existe plusieurs méthodes 2FA, mais les solutions matérielles sont généralement considérées comme supérieures par rapport aux autres méthodes en termes de sécurité, en particulier par rapport à la plus courante qui repose sur les messages texte. Gardez tout de même en tête que la 2FA par SMS reste nettement préférable à l’absence d’authentification multifactorielle.

Google a lancé sa propre clé de sécurité matérielle l'année dernière et a révélé que les jetons de sécurité avaient essentiellement éliminé le problème des attaques de hameçonnage contre ses employés. Cela dit, il y a de fortes chances que vous ne souhaitiez pas dépenser entre 20 et 60 dollars US pour une clé de sécurité, qu'elle soit celle de Google ou celle d'entreprises telles que Yubico et Feitian Technology. C'est là que votre appareil Android peut entrer en jeu.