Authentification renforcée : Google s’appuie sur une clé USB et Chrome
En s’appuyant sur l’Alliance FIDO, Google propose une clé USB pour accéder en toute sécurité sur ses services Internet via son navigateur Chrome.
Google apporte son soutien au standard d’authentification à double facteur U2F poussé par l’Alliance FIDO (acronyme de Fast IDentity Online). Le groupe Internet est membre de ce consortium industriel qui promeut des solutions d’authentification à la fois « plus simple » et « plus forte ». Dans ce club FIDO, on trouve des acteurs comme Microsoft, PayPal, Samsung, Visa, NXP, MasterCard ou ARM.
Comment Google compte appliquer U2F (acronyme de Universal 2nd Factor) ? A travers une clé USB baptisée Security Key, la firme Internet de Mountain View compte exploiter ce périphérique pour sécuriser l’accès à ses sites Internet (comme le moteur Google) et ses services en ligne comme le webmail Gmail. Mais uniquement à travers le navigateur Chrome.
Voici le principe à retenir décrit dans une contribution officielle sur le blog sécurité de Google : Plutôt que de taper ses identifiants d’accès à son compte Google directement sur le Web avec une confirmation d’un code à six chiffres envoyé par SMS, l’utilisateur doit juste insérer la clé USB Security Key dans un port USB de son ordinateur et saisir son code lorsqu’il ouvre le navigateur Chrome.
En procédant dans ce sens, l’utilisateur peut être assuré que le système d’authentification à double facteur ne peut pas faire l’objet d’une tentative de phishing (hameçonnage) car la clé USB ne délivre pas la signature chiffrée lorsqu’un site-leurre tente de prendre la place de la page officielle d’accès aux services Google via le navigateur « maison ».
C’est une avancée importante considère l’Alliance FIDO : l’outil de navigation de Google est le premier à supporter U2F. Du coup, tout site Web accessible via Chrome peut utiliser à son tour les bénéfices de FIDO U2F.
Un écosystème de solutions FIDO U2F est établi avec des acteurs comme Duo Security, Entersekt, Infineon, NXP, Nok Nok Labs, Plug-up International, ST Microelectronics, Sonavation, StrongAuth, SurePassID ou Yubico. Pour le cas de Google, des clés USB Security Key sont commercialisées sur Amazon.com.
Ce système d’authentification à double facteur pourrait être adapté à des services sans contact accessibles par NFC (near field communication) ou BLE (Bluetooth low energy).
—
Découvrez la nouvelle application ITespresso.fr sur iPad
—