Nous contacter Flux RSS

Vos smartphones, s’il vous plait !

20 septembre 2010 - Billet mis dans Humeurs et essais, Le coin du Geek

Google vient d’annoncer qu’il va renforcer la sécurité de ses applications, dont Gmail et surtout Google Applications, selon un principe d’authentification forte. On est pour.

[saut]
« Quoi, j’ai un mot de passe compliqué composé du nom de mon chat et de ma date de naissance, elle est pas forte mon authentification ? » Hé bien non.
[saut]
Tout système qui est accessible simplement avec un mot de passe « fixe et virtuel », comme un webmail ou une interface de gestion de site, est vulnérable à un virus ou cheval de troie. Un cheval de Troie peut de manière totalement invisible enregistrer tout ce qui s’affiche à votre écran et se tape sur votre clavier, et les transmettre à un escroc à l’autre bout du monde. Si une personne malveillante capture vos informations, elle peut dans la minute qui suit se faire passer pour vous et accéder à votre espace confidentiel avec les conséquences parfois irréparables que cela entraîne (accès à des listes de clients divulguées, données personnelles confidentielles revendues, suppression de données etc). Et un mot de passe même long et complexe saisi sur un poste vérolé par un cheval de Troie, c’est comme une porte blindée posée sur un mur en carton.
[saut]

[saut]
Une des régles d’une sécurité (fortement) améliorée, donc d’authentification forte, est d’associer quelquechose que vous possédez à l’information que vous connaissez. Tout le monde s’en sert déjà: c’est le principe de votre carte bancaire : avec votre carte seule dans les mains je ne peux ponctionner votre compte car je n’ai pas l’information du code secret. En revanche, même si vous avez réussi à espionner un courrier et savez que 1234 est le code secret d’une carte bancaire, vous ne pouvez rien en faire sans avoir aussi volé la carte correspondante.
[saut]

Ici le principe est de dire que même si un programme malveillant a espionné votre clavier et volé votre mot de passe secret, voire si vous avez noté votre mot de passe sur un post-it affiché sur votre écran, ou sur un tableau blanc filmé et diffusé en TV à heure de grande écoute (qui a dit ça sent le vécu ?), alors malgré ces failles de sécurité l’accès au compte peut rester bloqué. Pour le cas évoqué, Google ne donnera pas l’accès sans que l’utilisateur prouve qu’il a aussi en main un objet physique. Cela peut être faisable avec une clef spéciale ou une clef USB, ici en l’occurrence Google a choisi le smartphone de type Android, Iphone, ou Blackberry, sur lequel un code à durée limitée et usage unique vient d’arriver. (Possible par SMS, ici fait par une application « Google Authenticator »). Inutile de dire que cela vous met à l’abri de la plupart des attaques, puisqu’il faut une proximité physique avec quelqu’un pour envisager même un accès non autorisé à son compte.

[saut]
Pourquoi c’est une bonne nouvelle ?
A titre individuel, une personne qui se sert même simplement de Gmail, et à plus forte raison d’applications en cloud par Google Apps y stocke forcément des informations importantes, dont la compromission serait très dommageable. Savoir que l’accès frauduleux à un tel compte est rendu extrêmement difficile est une bonne nouvelle à notre époque où les données vont de plus en plus être stockées « dans les nuages ».
[saut]
A titre commercial, inutile de dire que cette stratégie va probablement rendre les solutions Google Apps beaucoup plus tentantes pour certains directeurs informatiques, qui à juste titre sont exigeants en terme de sécurité d’accès tout en devant conserver des systèmes simples d’utilisation pour l’usager, sous peine de rencontrer résistances au changement voire perte de productivité !
[saut]
Si vous souhaitez étudier comment rendre votre système d’informations plus sécurisé tout en le laissant simple et agréable à utiliser pour vos collaborateurs, contactez NetAgence pour un devis Internet. Nos services de formation comme nos prestations d’installation vous amènent des outils efficaces et productifs.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Devis gratuit