Google ne veut plus de la double authentification par SMS dans Gmail

Google ne veut plus de la double authentification par SMS dans Gmail

Google n'utilisera plus la double authentification par SMS sur Gmail, à cause du manque de sécurité qu'offre ce système. A la place, l'entreprise compte développer un nouveau dispositif avec des QR codes.

Pour se connecter à un service Google comme Gmail, YouTube ou encore Google Docs, Google impose la double authentification (2FA pour two-factor authentication en anglais ou authentification à deux facteurs en français) à tous les utilisateurs de ses services en ligne. Ainsi, dès que vous vous connectez à votre compte à l'aide de vos identifiants sur un appareil inhabituel, par exemple l'ordinateur d'un proche, il vous est demandé de confirmer qu'il s'agit bien de vous à l'aide d'une autre méthode, comme indiquer un code envoyé par SMS.

Mais la vérification par SMS possède de nombreuses failles. Des personnes mal intentionnées peuvent tout à fait pirater les installations des opérateurs, intercepter les codes non chiffrés de bout en bout ou  réaliser des attaques par SIM swapping. Aussi, Google a décidé d'arrêter d'utiliser cette méthode d'authentification, comme le rapporte Forbes"Tout comme nous voulons éviter l'utilisation des mots de passe grâce à des solutions comme les passkeys, nous voulons nous éloigner de l'envoi de messages SMS pour l'authentification", a expliqué un porte-parole de l'entreprise. Une autre technologie est envisagée pour le remplacer. 

Double authentification Gmail : une solution faillible

Les spécialistes alertent depuis des années sur les risques associés à la double authentification par SMS. Aussi, Google devrait, dans les prochains mois, développer une nouvelle solution qui s'appuie sur les codes QR. Concrètement, au lieu de recevoir un code à six chiffres sur votre téléphone, vous devrez en scanner un avec l'appareil photo de votre smartphone pour valider leur connexion. De cette façon,  aucun code ne pourra être intercepté ou partagé par erreur. La firme de Mountain View n'a pas souhaité partager plus de détails.

Mais ce n'est pas la seule raison qui pousse Google à changer le système d'authentification. En effet, l'entreprise souhaite lutter contre le traffic pumping. Il s'agit d'une fraude visant à exploiter les systèmes de communication (SMS, appels) pour générer artificiellement du trafic vers des numéros surtaxés, contrôlés par des fraudeurs. Les escrocs déclenchent ainsi des milliers de demandes de codes envoyés vers leurs propres numéros et encaissent une commission sur chaque SMS délivré, aux frais des services qui les émettent. Une machination qui fait flamber la facture pour les entreprises…

Reste que pour ceux qui n'utilisent qu'un seul écran, cette solution 2FA n'a pas l'air des plus pratiques. Dans ce cas, il faudra se rabattre vers d'autres alternatives, comme ,les clés d'accès, les clés de sécurité matérielles, les invites Google, les codes de secours ou les codes de validation générés par une application 2FA.