CNET.com a testé TITAN, la clé sécurité de GOOGLE

Sommaire Nos confrères de CNET.com ont pu tester la Titan Security Key de Google. Avec sa clé U2F, Google veut démocratiser l’usage de ce procédé et renforcer la sécurité des utilisateurs en ligne contre les pirates.

Lorsque Google s’est vanté qu’aucun de ses 85 000 employés et plus n’a été piraté depuis le début de 2017, il avait oublié de préciser que c’était grâce à une version bêta de sa clé de sécurité la Titan Security Key. Après une longue phase de test, la dernière version de cette clé de sécurité U2F sera disponible prochainement, de quoi pousser l’adoption de ce procédé ?

En exclusivité, CNET.com a pu tester la clé Titan Security Key, la clé de Google qui utilise l’authentification multifactorielle pour protéger les utilisateurs contre les attaques de phishing.

Les clés de sécurité se présentent sous de nombreuses formes, qu’il s’agisse d’une clé USB ou d’une télécommande Bluetooth, utilisées pour se connecter à votre appareil lorsque vous essayez de vous connecter.  Le but est de fournir une deuxième couche de sécurité grâce à l’authentification multifactorielle, c’est-à-dire plus d’une méthode pour prouver que vous êtes la personne autorisée à se connecter.

A partir de 20$

Les pirates peuvent être en mesure de voler votre mot de passe en ligne, mais ils ont souvent beaucoup plus de mal à voler une clé de sécurité physique qui est avec vous. Google plaide en faveur des clés de sécurité depuis un certain temps, ce qui en fait une exigence pour son programme de protection avancée et les présente comme le « facteur d’authentification le plus fort et le plus résistant au phishing ».

La clé Titan, qui vient à la fois dans les versions USB et Bluetooth, sera disponible à la vente dans la boutique en ligne de Google dans les prochains mois, a déclaré Christiaan Brand, un gestionnaire de produits Google pour l’identité et la sécurité. Il sera proposé avec les deux versions USB et Bluetooth pour 50 $, ou vous pourrez acheter l’un ou l’autre pour environ 20 $ à 25 $ chacun.Les clés de sécurité fonctionneront sur tout appareil doté d’un port USB ou d’une connexion Bluetooth.

Pousser l’adoption des clés de sécurité

L’hameçonnage est l’un des moyens les plus courants pour les pirates d’obtenir votre mot de passe. Et les clés de sécurité ajoutent un niveau de protection supplémentaire parce que même si les pirates réussissaient à voler votre mot de passe par hameçonnage, ils ne pourraient pas saisir votre clé de sécurité. Ces clés seraient également en mesure de vous avertir si vous visitez un site Web d’hameçonnage.

La clé de Google fonctionne exactement de la même façon que les clés déjà présentes sur le marché, comme la Yubikey de YubiCo, que Google a recommandé dans le passé. Sam Srinivas, directeur de la gestion des produits pour la sécurité de l’information chez Google, a déclaré que l’entreprise n’essaie pas de concurrencer d’autres clés de sécurité, mais plutôt d’élargir le nombre d’options disponibles.

Google espère aussi qu’en vendant sa propre clé de sécurité, à un prix plus bas que celles des concurrents du marché, il rend plus populaire ce dispositif de sécurité. Mais avant que les prix puissent baisser, Google va devoir convaincre les utilisateurs qu’ils ont besoin d’une clé de sécurité.

Utilisation discrète

En janvier, un ingénieur de Google a déclaré que moins de 10 % des utilisateurs de Gmail disposent d’une authentification à deux facteurs sur leurs comptes. Google est conscient du manque d’intérêt pour l’authentification multifactorielle, et il espère que la clé Titan pourra changer cet état de fait.

L’une des formes les plus populaires d’authentification à deux facteurs consiste à demander à un service d’envoyer un code par SMS à votre téléphone, que vous tapez ensuite. Ce procédé n’est pas infaillible, indique M. Srinivas. Google a découvert qu’une attaque ciblée serait capable de tromper des utilisateurs en leur donnant également un code d’authentification.

Une clé de sécurité présente d’autres avantages par rapport aux codes envoyés à un téléphone. Bien qu’un téléphone soit pratique, une clé de sécurité est plus facile à utiliser et à suivre. Vous n’avez pas besoin d’un réseau pour l’utiliser, et vous n’avez non plus besoin d’électricité, ce qui est une bonne chose si la batterie de votre téléphone est à plat.

La version Bluetooth de la clé Titan peut durer jusqu’à six mois avec une seule charge.

En pratique

J’ai eu la chance d’essayer la clé Google Titan par moi-même. La mise en place des clés de sécurité fut une expérience assez simple. J’ai consulté mes paramètres de sécurité Google, et j’ai cherché la section Vérification en deux étapes.

De là, j’ai cliqué sur Ajouter une clé de sécurité et on m’a demandé d’insérer la clé USB et d’appuyer sur le bouton qui va bien. Simplisme.

J’ai suivi le même processus pour la version Bluetooth, et je l’ai aussi configuré pour mon compte Facebook. Désormais, même si quelqu’un avait accès à mon mot de passe Gmail, il ne pourrait pas se connecter à moins qu’il n’ait également volé la clé de sécurité dans ma poche.

J’ai eu toutefois une petite frayeur  pendant le week-end – je l’avais laissé au bureau et on m’a demandé pour me connecter à mon compte à partir de chez moi. Heureusement, j’ai également mis en place une vérification de sauvegarde, qui envoie une alerte par mail sur un appareil de confiance, au lieu d’un SMS. C’est ce genre de frayeur qui fait que les utilisateurs peuvent être réticent envers les clés de sécurité. Si je n’avais pas eu cette mesure de sauvegarde, je n’aurais pas pu accéder à mon compte jusqu’à ce que j’ai de nouveau un accès physique à la clé.

L’objectif de Google, cependant, est de se débarrasser de ces problèmes en faisant en sorte que garder ses clés de sécurité sur soit deviennent une habitude, de la même manière que les gens quittent leur maison tous les jours avec leurs clés de maison ou de voiture.

Devensys — Expertise

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *