en partenariat avec

La validation en deux étapes de Google loin d’être inviolable

Des chercheurs néerlandais ont montré les limites de ce système censé renforcer la sécurité de nos données personnelles. Une faille liée à la connexion des services Google permet aux pirates de le contourner facilement.

Annonce

La validation en deux étapes n’est pas aussi sécurisée qu’elle en a l’air. Nommée aussi par les termes d’authentification à deux facteurs est censée renforcer la sécurité lorsque vous vous connectez à votre compte. En plus de l’habituel mot de passe à rentrer, elle permet à l’utilisateur de recevoir à chaque connexion, par SMS, un code unique qu’il se doit de renseigner pour être libre d’utiliser son compte Google. Des universitaires néerlandais ont démontré les limites de cet outil sécurité dans une vidéo présentant la façon dont il peut être contourné.

Pour résumer : si les pirates s’adjugent le contrôle du navigateur de la personne ciblée en exploitant les failles de services Google (envoi d’un mail sur Gmail contenant une pièce jointe frauduleuse…), ils s’ouvrent une voie vers l’appareil mobile de ce même utilisateur. Ainsi, ils ont les mains libres pour installer n’importe quelle application sur le mobile de la personne ciblée. À l’insu de son plein gré, évidemment. Parmi ces applications, malveillantes, certaines sont aptes à contourner facilement la validation à deux étapes. À partir de ce moment-là, c’est la foire au vol des données personnelles.

Annonce

En accédant à votre téléphone, ces derniers peuvent utiliser les applications d’ordinaires protégées par cette validation en deux étapes (les applis permettant de virer de l’argent par exemple…).

En attendant une éventuelle réponse de Google à ces limites liées à la validation en deux étapes, quelques règles de sécurité simples peuvent s’appliquer. Mettez à jour fréquemment vos applications, ne cliquez pas sur les liens qui vous paraissent frauduleux dans les mails que vous recevez et enfin ne vous connectez pas à votre compte Google sur un ordinateur « qui n’est pas de confiance ». L’approche la plus sécurisée, mais la plus contraignante aussi, consiste à employer deux comptes différents. Un sur votre appareil mobile, l’autre sur votre PC. Le pirate ne pourrait ainsi pas exploiter les faiblesses de l’un pour accéder aux données contenues sur l’autre.

Sources : The Register ; Techienews

Partagez l'article :

Articles populaires