Google supprime les codes SMS pour l'authentification Gmail
Les utilisateurs de Gmail verront bientôt un changement majeur dans la manière dont leurs comptes sont sécurisés et dont leurs connexions à authentification à deux facteurs sont gérées. Google prévoit de cesser d'envoyer des codes d'authentification à deux facteurs par SMS pour vérifier les comptes Gmail au profit d'outils de sécurité tels que des clés d'accès et des codes QR que les utilisateurs scanneraient avec leurs appareils.
Google constate que l'utilisation des SMS pour l'authentification à deux facteurs est devenue de plus en plus problématique, car les escrocs et les fraudeurs utilisent cette technologie pour usurper les comptes des utilisateurs. La nouvelle a été rapportée en premier par Forbes .
Ross Richendrfer, responsable des relations publiques en matière de sécurité et de confidentialité chez Google, a confirmé le rapport à CNET.
« Tout comme nous voulons aller au-delà des mots de passe en utilisant des éléments tels que des clés d’accès, nous voulons nous éloigner de l’envoi de messages SMS pour l’authentification », a-t-il déclaré.
Selon Richendrfer, au cours des prochains mois, Google va « réimaginer » la manière dont l'entreprise vérifie les numéros de téléphone. Gmail et d'autres services Google passeront de l'envoi de codes à six chiffres par SMS à l'envoi d'un code QR que l'utilisateur devra vérifier.
L'objectif serait d'éliminer les cas où les utilisateurs partagent leur code SMS avec un escroc qui les a trompés, et d'éliminer les opérateurs téléphoniques comme point de fuite possible. Selon Google, certains escrocs utilisent les messages SMS pour une escroquerie appelée « pompage de trafic » qui leur permet d'être payés pour des messages SMS.
Richendrfer affirme que l'utilisation de codes QR réduira les risques de phishing, diminuera les abus de SMS à l'échelle mondiale et rendra les utilisateurs moins dépendants de leurs opérateurs téléphoniques.
« Les codes SMS sont une source de risque accru pour les utilisateurs. Nous sommes heureux de présenter une nouvelle approche innovante visant à réduire la surface d'action des attaquants et à protéger les utilisateurs contre les activités malveillantes », a-t-il déclaré.
Gmail utilise également d'autres méthodes à deux facteurs telles que l'envoi d'un utilisateur vers l'application Gmail pour vérifier une connexion ainsi que son propre logiciel de sécurité, Google Authenticator .
Google n’est pas la seule entreprise à abandonner les SMS pour l’authentification à deux facteurs. L’année dernière, Evernote a supprimé les SMS de son service , et l’application de messagerie sécurisée Signal l’a supprimé en 2022. X et Apple ont également fait passer les utilisateurs des SMS à des utilisateurs différents, tout comme Microsoft . Google signale une transition vers l’abandon des SMS depuis 2017 .
Les experts estiment que cette décision n’est pas inattendue et probablement nécessaire pour Google.
« Le fait que Google abandonne les connexions par SMS est une décision intelligente en matière de sécurité. Même si cela peut sembler être un inconvénient au premier abord, c'est une étape nécessaire vers une protection renforcée », a déclaré à CNET Amy Bunn, défenseure de la sécurité en ligne chez McAfee.
« Les cybercriminels peuvent pirater des numéros de téléphone en échangeant des cartes SIM, intercepter des codes de sécurité et même bloquer l'accès à des comptes », a déclaré Bunn. « C'est pourquoi de plus en plus d'entreprises, dont Google, se tournent vers des méthodes de connexion plus sûres comme les clés d'accès et les applications d'authentification. »
Rob Allen, directeur des produits chez ThreatLocker, une société de sécurité, a déclaré que l'authentification à deux facteurs par SMS est probablement le processus d'authentification à deux facteurs le moins apprécié. Bien qu'il soit certainement préférable d'avoir une authentification à deux facteurs plutôt que de ne pas en avoir du tout, c'est certainement le moins sécurisé.
Allen a déclaré que l’utilisation d’une application d’authentification sur un téléphone mobile est un moyen beaucoup plus sûr d’utiliser l’authentification à deux facteurs.
« C’est bien de voir les entreprises évoluer vers un environnement plus sûr », a-t-il ajouté.
cnet
