Ou il est prouvé que vous aimez (vraiment) vous faire cambrioler vos données dans le cloud de Google.

Utilisateur des produits Google, vous aimez de manière générale être dans la mobilité et si vous avez des ennuis par exemple à une frontière (perte de passeports, de travellers chèques, etc…) vous savez que vous retrouverez dans le Drive, les photocopies vous permettant d’autant faire les démarches auprès du consulat que de la banque locale.
Lors de vos déplacements, vous utilisez régulièrement les différentes applications au nombre de 230,  que l’entreprise Google met à votre disposition. Cela concerne aussi bien l’album photographique comme celle vous donnant votre position. Les choix sont multiples suivant vos besoins, même si vous êtes sédentaire.
Ainsi donc, vous emmagasiner un certain nombre d’informations diverses et variées, confidentielles et publiques. Par un croisement de celles-ci, Google connaît vos goûts, vos choix, vos envies et aussi quelques petits secrets que vous n’avez pas envie obligatoirement de partager avec le monde entier. Mais vous avez confiance en la firme Alphabet gérant Google et vous savez que les informations sensibles resteront dans votre coffre-fort personnel.

Non accessible pour autrui ? C’est ce que vous croyez car …….. le malfaisant est aux aguets prêt à vous cambrioler, de manière rapide et sans que vous puissiez faire quoi que soit.

Avant le vol, vous pouviez le faire, mais vous ne l’avez pas fait car c’était « chiant ».
Cela prenait du temps.
Vous aviez toujours une bonne raison de ne pas le faire.
Cela vous semblait si ennuyeux.
Pire, vous ne compreniez pas à quoi cela servait.

Cela définit ici l’authentification à deux facteurs. Tout allait dans le meilleur des mondes, jusqu’au jour où…..un lundi matin, vous avez commencé à recevoir des emails de vos amis, parents même ne comprenant pas votre attitude datant d’il y a quelques jours. Au début, vous n’avez pas compris les questions, les étonnements aussi de la part de toutes ces personnes qui d’un seul coup regrettaient presque de vous connaître, d’être dans une fratrie.
Enfin, vous avez su qu’il s’agissait de photos/vidéos prise en Thaïlande vous montrant avec d’autres personnes de votre âge, en maillot de bains, « mimant » des danses pornographiques, comme le décrivaient dans le même temps dans la presse les autorités cambodgiennes. Au moment des faits, vous étiez dans ce qui s’appelait un « Let’s Get Wet » (« Mouillons-nous »).
Et maintenant que pouvez-vous faire ? Protéger enfin ce qui peut être protégé par l’authentification à deux facteurs ou appelée validation à deux étapes par Google

Authentification à deux facteurs.

Mais comment se définit l’authentification à deux facteurs dit aussi 2FA ? Comme le décrit Wikipédia, il s’agit d' »une méthode par laquelle un utilisateur peut accéder à une ressource informatique (un ordinateur, un téléphone intelligent ou encore un site web) après avoir présenté deux preuves d’identité distinctes à un mécanisme d’authentification« .
Au niveau de l’authentification, il existe quatre facteurs classiques dans le processus d’authentification d’un utilisateur :

  • utiliser une information que seul celui-ci connaît (ce que l’on connaît) ;
  • utiliser une information unique que seul l’utilisateur possède (ce que l’on possède) ;
  • utiliser une information qui caractérise l’utilisateur dans un contexte donné (ce que l’on est) ;
  • utiliser une information que seul celui-ci peut produire (ce que l’on sait faire).

Google a mis en place depuis sept ans ce qu’elle appelle la validation en deux étapes mais ayant la même fonction que l’A2F. Et pourtant le constat est amer. Le nombre d’utilisateurs actifs de Gmail s’éleve à…1 milliard de personnes au 2 février 2016……,

… mais vous êtes moins de 10%, oui moins de dix pour cent à utiliser la validation en deux étapes.

Comme l’a rappelé  l’ingénieur logiciel de Google, Grzegorz Milka, lors de la conférence de sécurité Usenix Enigma 2018 en Californie, plus de 10% de ceux qui essayent d’utiliser le mécanisme de validation ont des problèmes ne serait-ce que pour inscrire un code d’accès envoyé par SMS. (Informations rapportée par le journal en ligne The Register.) C’est à croire que ces personnes ont essentiellement des problèmes de vues. Mais il ne s’agit pas que de cela. Il y aussi pour une bonne part,  une non compréhension du processus d’utilisation du clavier ou de la souris.
A partir de là, en dehors de ce souci particulier, la part trop grande des non protégés laisse les portes grandes ouvertes aux malfaisants. La preuve….

Un exemple type d’une attaque sur un compte GMail. Remarquez le temps mis entre l’entrée et la sortie du compte.

Alors ce delta de plus de neuf cent millions de non protégés est dû à quoi ?
Est-ce du à un souci dans la communication sur la protection de nos données, alors que les sociétés comme Google ou autres le rappelent régulièrement ? Non, pas du tout  !
A une mauvaise compréhension du message envoyé vers les utilisateurs ? Encore moins  !
Est-ce une absence de prise de conscience tant que les utilisateurs n’ont pas été confrontés à un vol de données ? Surement, mais…
La réponse est qu’une grande part des utilisateurs ne connaissent pas les risques possibles en utilisant le réseau Internet. Cela se voit à tous les niveaux. Ainsi, comme le rappelle régulièrement  Keeper Security, les mots de passe comme « 123456 » ou même « password » sont encore trop souvent une généralité. Alors entamer une procédure de validation à deux niveaux, c’est un tout autre monde.
Comme disait souvent un ami « Vous pouvez avoir la maison la mieux protégée, tant au niveau matériels qu’humains. Si vous laissez les clés sur la porte d’entrée, tout le reste ne sert strictement à rien. » Alors un conseil : les clés….. gardez-les dans votre poche.

Utiliser les outils proposés par Google, pour mieux se protéger.

Nous n’allons pas ré-inventer la roue pour vous expliquer comment effectuer la validation en deux étapes.  Google met à votre disposition tout un panel d’informations sur celle-ci vous permettant ainsi de mieux aborder la démarche. Un lien ? Mais bien sûr, en cliquant sur l’image tout simplement.


Maintenant, la prochaine fois que vous passerez du côté d’ici, n’hésitez pas à nous raconter dans les commentaires, comment s’est passée cette validation en deux étapes et surtout nous dire si c’est un confort pour vous dans son utilisation.

Shares:

3 Comments

  • brousse.ouillisse
    brousse.ouillisse
    5 février 2018 at 13 h 16 min

    Un conseil: éviter la validation par SMS. Beaucoup d’utilisateurs autour de moi ne masquent pas les notifications sur leur portable, qu’ils ne verrouillent pas non plus (Allo, quoi!)

    Utilisez plutôt un téléphone Android, soit à travers Google Authenticator (ancienne méthode), soit via le mobile lui-même. Ainsi, lorsque l’on se loggue sur un ordinateur branché sur le même réseau wifi que mon mobile, il suffit d’entrer compte + Mot de passe et une notification vous demande de valider depuis le mobile (après l’avoir déverrouillé).

    Sinon,  on peut aussi utiliser une clé de type U2F  / FIDO. C’est une sorte de clé usb (sans aucune mémoire, l’analogie s’arrête là) qui sert à déverrouiller le compte Google, en appuyant en général sur un petit bouton sur la clé USB.

    La configuration se fait dans les paramètres du compte Google (comme pour la double authentification par SMS ou Téléphone Android).

    La clé la moins chère coûte 8 euros sur Amazon et (beaucoup) plus cher si c’est une Yubikey, la plus connue dans le domaine. Il faut la prendre de qualité, car elle doit être durable.

    Elle peut servir à déverrouiller d’autres services internet, notamment des services  de coffre-fort à mot de passe comme Dashlane ou Lastpass.  (A vérifier, mes infos datent) 

    Son seul inconvénient, c’est que ça ne fonctionne pas sur un téléphone Android, dans la mesure ou il faut utiliser un port USB. Je ne sais pas s’il existe un contournement pour ce cas, pour les comptes qu’on voudrait ajouter au compte Google qui a servi à initialiser le téléphone (pour celui-là, c’est bon, mais il faut avoir verrouillé le téléphone, bien sur.

    Sinon, il n’y a plus sur.

    Reply
  • Kesskisspass
    Kesskisspass
    3 février 2018 at 9 h 44 min

    Moi ça fait quelques temps que j’utilise la double authentification, c’est une habitude à prendre, mais j’avoue que je ne le conseille pas à tout mon entourage tout simplement parce que , oui c’est chiant et c’est plus lent que de ne pas l’utiliser.

    Il y a quand même un vrai souci c’est que le mot de passe en tant que « clé » (comme mécanisme de protection) est vraiment mauvais. A moins de le changer régulièrement, qu’il soit long et incompréhensible… en gros d’utiliser un gestionnaire de mot de passe… qui lui même devient un coffre fort à protéger… par un autre mot de passe… Bref c’est le serpent qui se mord la queue.

    Au final je me demande si la solution ne viendra pas de la combinaisons des différents capteurs (empreinte, iris, 3D… gérées en local sur les appareils) qui valide votre identité, et du coup donne accès aux comptes (tout ça combiné avec une position géographique cohérente avec vos habitudes et sinon une demande d’une seconde confirmation etc…)

    Franchement quand on nous fait rêver avec l’avancée des IA  dans tous les secteurs (cf Google IO 2017), comment se fait il qu’un pirate puisse encore hacker notre compte ?

    Reply
    • Mister Robot
      Mister Robot
      4 février 2018 at 0 h 22 min

      Bonjour,

      avec un petit bonjour, c’est mieux ! Mais je dis cela je dis rien.

      Je suis d’accord avec vous en ce qui concerne la validation à deux étapes. Même si elle devient presque obligatoire elle reste encore trop contraignante. 
      Alors je pense que celle-ci s’effectuera par un mix empreinte et chiffres/lettres de manière générale. Le Pixel 2 ou le Pixel XL (je ne peux parler que de ce je connais) propose déjà ce mix, mais il est vrai qu’il s’agit d’appareils moyen/haut de gamme.
      Maintenant en ce qui concerne « la violation de domicile », car il s’agit bien de cela même s’il s’agit d’un compte Gmail, comme il est dit dans l’article, un trop grand nombre de personnes ne voient pas l’importance ne serait-ce que du mot de passe. Les 123456 et autres password, sont très pratiques pour l’utilisateur et trop fastoche pour le malfaisant. Il n’y a pas de prise de conscience réelle des dangers encourus et les chiffres le montre.J’aurais presque envie de dire que Google devrait bloquer les comptes n’ayant pas de password avec une combinaison de chiffres/lettres et autres caractères spéciaux. Après on peut en parler, informer, si les utilisateurs sont tétus ou fermés aux messages de prévention, on ne peut rien faire.

      Bonne journée.

      Mister R.

      Reply

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.