Authentification : Google ferme doucement la porte aux SMS

« Les SMS sont déconseillés : ils dépendent des réseaux d’opérateurs externes et peuvent être interceptés. »

Cette mention figure dans l’aide administrateur de G Suite, rubrique « Validation en deux étapes ».

Ce processus est destiné à renforcer la protection des comptes contre les accès non autorisés. Il consiste, pour les utilisateurs, à valider leur identité à l’aide d’un élément qu’ils connaissent (comme un mot de passe) et d’un élément qu’ils possèdent (clé physique, appareil mobile…).

Sur les appareils mobiles, plusieurs dispositifs existent. On peut notamment recevoir une « invite de connexion », sous la forme d’une notification sur laquelle il faut appuyer pour valider la connexion.

Voici les clés

Google propose deux méthodes alternatives basées sur la saisie d’un code. La première exploite l’application Google Authenticator.

La seconde passe par un SMS ou appel vocal. Compte tenu des risques* sus-évoqués, les administrateurs G Suite verront apparaître, d’ici à fin mars, une option qui permettra de la désactiver.

Une exception pourra être mise en place le temps de doter tous les utilisateurs d’un moyen alternatif d’authentification. L’invite de connexion sera sélectionnée par défaut, sauf si l’administrateur impose l’utilisation d’une clé physique.

* Pour ces motifs, l’administration américaine considère, depuis plusieurs années, les SMS comme obsolètes pour l’authentification forte.