Pour renforcer la sécurité, plusieurs services proposent la validation en deux étapes. Un utilisateur doit entrer son identifiant puis son mot de passe pour se connecter. Il doit ensuite entrer un code reçu par SMS (ou e-mail parfois) pour confirmer la connexion et surtout confirmer qu’il s’agit bien de lui. Les pirates qui ont réussi à récupérer le mot de passe sont bloqués à cette étape car ils n’ont pas le code reçu, donc ils ne peuvent pas se connecter au compte.
Google propose ce service, comme d’autres. Il veut aller au-delà et met en place dès maintenant l’option « Clé de sécurité ». Son navigateur Chrome (à partir de la version 38) prend en charge les clés USB conformes à la norme ouverte dénommée « FIDO Universal 2nd Factor (U2F) ». Un utilisateur peut connecter cette clé sur son ordinateur au moment d’entrer le code, au lieu de recevoir un message. Elle va s’assurer que les informations demandées seront bien envoyées sur les serveurs de Google (ou non un site d’un pirate) et va éviter d’enter le code manuellement.
La clé requiert seulement un port USB, elle n’a pas de batterie ou autre. Elle peut donc être tout le temps utilisée. Point noir pour l’instant, elle est seulement compatible avec Chrome. Même si le navigateur de Google est très utilisé dans le monde, il reste des utilisateurs avec Internet Explorer, Firefox et autres. Sur son blog lié à la sécurité, Google espère que les autres navigateurs prendront en charge cette option prochainement.
Google ne vend pas la clé à proprement parler, il suffit d’en trouver une avec le logo « FIDO U2F Ready ». Sur Amazon France, un modèle est disponible, il est proposé à 5,99 euros seulement. Point à noter, l’option « Clé de sécurité » fonction sur Windows, OS X et Linux.
C’est surtout de grande campagne anti piratage mondiale qui devrait être fait avec des accords internationaux… Enfin c’est une utopie.
comme toujours nous devons nous prémunir de plus en plus et « supporter » pour une minorité.
Suffit de voir rien que le spam et les captcha…