• Rechercher
Accueil ► News ► La validation en deux étapes de Google loin d’être inviolable

La validation en deux étapes de Google loin d’être inviolable

Des chercheurs néerlandais ont montré les limites de ce système censé renforcer la sécurité de nos données personnelles. Une faille liée à la connexion des services Google permet aux pirates de le contourner facilement.

La validation en deux étapes n’est pas aussi sécurisée qu’elle en a l’air. Nommée aussi par les termes d’authentification à deux facteurs est censée renforcer la sécurité lorsque vous vous connectez à votre compte. En plus de l’habituel mot de passe à rentrer, elle permet à l’utilisateur de recevoir à chaque connexion, par SMS, un code unique qu’il se doit de renseigner pour être libre d’utiliser son compte Google. Des universitaires néerlandais ont démontré les limites de cet outil sécurité dans une vidéo présentant la façon dont il peut être contourné.

Pour résumer : si les pirates s’adjugent le contrôle du navigateur de la personne ciblée en exploitant les failles de services Google (envoi d’un mail sur Gmail contenant une pièce jointe frauduleuse…), ils s’ouvrent une voie vers l’appareil mobile de ce même utilisateur. Ainsi, ils ont les mains libres pour installer n’importe quelle application sur le mobile de la personne ciblée. À l’insu de son plein gré, évidemment. Parmi ces applications, malveillantes, certaines sont aptes à contourner facilement la validation à deux étapes. À partir de ce moment-là, c’est la foire au vol des données personnelles.

En accédant à votre téléphone, ces derniers peuvent utiliser les applications d’ordinaires protégées par cette validation en deux étapes (les applis permettant de virer de l’argent par exemple…).

En attendant une éventuelle réponse de Google à ces limites liées à la validation en deux étapes, quelques règles de sécurité simples peuvent s’appliquer. Mettez à jour fréquemment vos applications, ne cliquez pas sur les liens qui vous paraissent frauduleux dans les mails que vous recevez et enfin ne vous connectez pas à votre compte Google sur un ordinateur “qui n’est pas de confiance”. L’approche la plus sécurisée, mais la plus contraignante aussi, consiste à employer deux comptes différents. Un sur votre appareil mobile, l’autre sur votre PC. Le pirate ne pourrait ainsi pas exploiter les faiblesses de l’un pour accéder aux données contenues sur l’autre.

Sources : The Register ; Techienews


Auteur
Yann Peyrot

Mon téléphone : Samsung Galaxy Nexus
Ma tablette Android : La Samsung Galaxy Tab 7.7 parce qu'elle est petite
Mon jeu préféré : Temple Run
Mon appli préférée : 9gag ça fait passer le temps
Mon robot préféré : Bishop dans Alien 2 (j'avoue il y a mieux)
Mon objet fétiche : Ma clef USB, toujours sur moi.
Citation : « Smokey on est pas au Vietnam, on est au Bowling, on joue selon les règles » Walter, the Big Lebowsky.

Tous les articles
Auteur Yann Peyrot