Les codes QR font désormais partie intégrante de notre vie numérique, mais Google s’efforce de les rendre encore plus intégrés à l’expérience utilisateur. Récemment, Google a annoncé une nouvelle fonctionnalité qui permet aux utilisateurs de se connecter à leurs comptes en scannant des codes QR. Dans cet article, nous explorerons le fonctionnement de cette fonctionnalité et ce que ce changement signifie pour l'avenir de l'enregistrement Entrée et de la sécurité numérique.
Google abandonne l'authentification à deux facteurs par SMS au profit des codes QR. La nouvelle méthode d'authentification à deux facteurs offrira une protection accrue contre le phishing et d'autres menaces courantes, mais peut être moins pratique que la vérification par SMS, selon la mise en œuvre de Google.
La plupart des grands sites utilisent l’authentification à deux facteurs pour empêcher les pirates de détourner les comptes compromis. L’idée est très simple : un pirate qui vole votre nom d’utilisateur et votre mot de passe a rarement un accès direct à votre smartphone ou à votre boîte de réception. Ainsi, au lieu de s'appuyer sur les noms d'utilisateur et les mots de passe comme seule forme de vérification de l'inscription à Entrée, les sites enverront des codes à usage unique par SMS ou par e-mail pour garantir la légitimité des tentatives d'inscription à Entrée.
L'authentification à deux facteurs augmente considérablement la sécurité du compte. Malheureusement, cela rend également le processus d’inscription à l’Entrée beaucoup plus lent. Les sites comme Google savent que l’authentification à deux facteurs peut être ennuyeuse, c’est pourquoi ils optent souvent pour la forme d’authentification la plus pratique : le modeste code de vérification unique par SMS.
Nous faisons souvent référence aux SMS comme étant la méthode d’authentification à deux facteurs. "minimum". C'est mieux que rien, mais c'est loin d'être parfait. Disons qu'un pirate informatique vole le nom d'utilisateur et le mot de passe de grand-mère pour son compte bancaire. Un pirate peut contourner la vérification par SMS en appelant grand-mère, en se faisant passer pour Google et en lui demandant directement le code. Bien que l’authentification par SMS soit mieux que rien, elle ne peut pas empêcher la manipulation sociale. Dans certains cas, cela peut même donner une apparence d’authenticité aux escrocs : si un pirate informatique active un SMS d’authentification à deux facteurs avant d’appeler grand-mère, il peut l’utiliser comme excuse pour dire : « Nous avons détecté que votre compte est attaqué, donnez-nous ce code afin que nous puissions résoudre le problème. »
L'authentification par SMS est devenue une exigence de connexion par défaut pour tous les comptes Google en 2021. Aujourd'hui, avec quatre ans d'expérience, Google a déclaré à Forbes qu'il souhaitait mettre en œuvre un système d'authentification à deux facteurs plus robuste. La société invoque le phishing, ainsi que des failles de sécurité de la part de l'opérateur, comme raison du changement.
L’alternative choisie à l’authentification par SMS – les codes QR – augmenterait la sécurité des comptes pour tous les utilisateurs de Google. Les pirates informatiques pourraient avoir du mal à convaincre grand-mère qu'elle doit scanner un code QR aléatoire, et comme ce système de code QR ne repose pas sur les SMS, il ne peut pas être piraté par les pratiques de sécurité notoirement médiocres des entreprises de télécommunications.
« Au cours des prochains mois, nous allons repenser la manière dont nous vérifions les numéros de téléphone. Concrètement, au lieu de saisir votre numéro et de recevoir un code à 6 chiffres, vous verrez s'afficher un code QR que vous devrez scanner à l'aide de l'application appareil photo de votre téléphone.
Quant à la manière dont Google mettra en œuvre la nouvelle méthode 2FA, la société indique : « Vous verrez un code QR s'afficher [lorsque vous essayez de vous connecter à votre compte Google], que vous devrez scanner à l'aide de l'application appareil photo de votre téléphone. » Cela semble assez simple, mais je m'interroge sur les détails les plus fins. Par exemple, ce système suppose que vous êtes déjà connecté à Google sur votre téléphone. Que faire si ce n'est pas le cas ? Comment Google gérera-t-il la 2FA pour la connexion mobile ?
Les codes QR ne sont pas non plus à l’abri du phishing. Je suppose que ces codes QR ne sont que des liens Web. Cela peut vous amener à une page Web indiquant, par exemple, « Un certain appareil essaie de se connecter à votre compte, souhaitez-vous lui accorder l'accès ? » C'est mieux qu'un code SMS à six chiffres, mais vous pouvez tout à fait convaincre votre grand-mère de cliquer sur le gros bouton bleu « Confirmer » si vous essayez vraiment. (Pour plus de clarté, je suppose comment fonctionne la vérification QR de Google. Je peux me tromper complètement.)
Nous avons un besoin urgent d’une méthodologie 2FA plus sûre, plus avancée et plus pratique. Les clés de sécurité physiques sont excellentes, mais elles ne sont pas largement acceptées et peuvent être très impitoyables. Les clés d'accès éliminent le besoin d'authentification à deux facteurs dans certains scénarios, mais elles ne rendent pas la 2FA obsolète, et de nombreux sites Web qui utilisent des clés d'accès nécessitent toujours la 2FA.
Quoi qu'il en soit, vous connaissez ces restaurants étranges qui utilisent des codes QR au lieu de menus ? La connexion à votre compte Google ressemblera un peu à ceci. Je ne suis pas particulièrement enthousiaste à l'idée de sortir mon téléphone et de le pointer vers l'écran alors que je me précipite dans un appel Google Meet, et je ne suis pas un fan des codes QR en premier lieu, mais je suis d'accord avec la décision de Google d'adopter une méthode 2FA plus flexible.
Source : Google via Forbes
L’enregistrement des entrées à l’aide de codes QR représente une nouvelle étape vers la simplification de l’expérience utilisateur et l’amélioration de la sécurité numérique. Avec cette fonctionnalité, Google souhaite rendre le processus d’inscription Entrée plus fluide et plus sécurisé. Si vous êtes un utilisateur régulier de Google, il est temps d'essayer cette nouvelle méthode et de profiter de ses avantages. N’oubliez jamais que la technologie évolue pour vous servir et que tout ce que vous avez à faire est de rester au courant des derniers changements.
