Google: ‘L’authentification à deux facteurs bloque 100 pour cent des attaques automatisées’

Google a révélé des données tendant à démontrer que la double vérification (‘two-factor authentication’ ou 2FA) est vraiment efficiente.

L’authentification à deux facteurs est le système qui permet à l’utilisateur de sécuriser un compte non seulement avec un mot de passe, mais aussi avec un ou plusieurs moyen(s) supplémentaire(s), à savoir un SMS, une empreinte digitale, une carte physique, une clé USB ou un programme comme Authenticator, qui génère des codes temporaires. Ce système existe depuis le début du ‘banking’ en ligne, mais est toujours plus souvent recommandé pour d’autres comptes importants, comme le mail. Mais cela lui pose pas mal d’exigences supplémentaires, d’où la question de savoir s’il est réellement efficace.

Google abonde en tout cas dans ce sens. Sur son blog de sécurité, l’entreprise donne des informations démontrant combien le système 2FA est plus sûr. Google, qui vend aussi des clés de sécurité physiques propres, a examiné une année durant l’efficience du système, conjointement avec la New York University et l’University of California située à SanDiego.

Il en ressort que le paramétrage du 2FA par SMS, par lequel l’utilisateur doit saisir non seulement son mot de passe, mais aussi un code obtenu sur son téléphone, est capable de contrer 100 pour cent des attaques automatisées, 96 pour cent des attaques d’hameçonnage (‘phishing’) de masse et 76 pour cent des attaques ciblées, utilisées par des hackers humains à des fins d’intrusion. Ce qu’on appelle en jargon les ‘on-device prompts’ s’avèrent encore un peu plus sûrs. Si l’utilisateur se connecte avec un ordinateur portable, l’utilisateur reçoit dans ce cas un bref message sur son smartphone lui demandant d’aller de l’avant. Cette formule parvient à bloquer 100 pour cent des attaques automatisées, 99% des attaques d’hameçonnage et 90 pour cent des attaques ciblées et ce, probablement parce qu’il n’y a nulle part de code à intercepter via les sites de ‘phishing’. Enfin, l’enquête révèle que les clés de sécurité physiques sont à même de repousser cent pour cent de toutes les attaques.