L’iPhone peut maintenant servir de clé de sécurité pour se connecter aux différents services de Google.
En avril dernier, Google a annoncé que les utilisateurs pourraient utiliser les puces à l’intérieur de leurs smartphones Android comme clé de sécurité pour leurs comptes Google. À partir de cette semaine, Google a étendu cette fonctionnalité aux iPhone. Les utilisateurs de Google devront enregistrer leur iPhone en tant que double authentification (2FA) pour leurs comptes Google, de la même manière qu’ils enregistrent les clés de sécurité matérielles.
La prochaine fois qu’il se connectera à son compte Google, l’utilisateur entrera son nom d’utilisateur et son mot de passe, puis activera la connexion Bluetooth de son iPhone, ce qui vérifiera la tentative de connexion similaire à une clé de sécurité matérielle.
Selon Google, pour configurer un iPhone en tant que clé de sécurité pour un compte Google, les utilisateurs auront besoin d’un iPhone sous iOS 10 (sorti en septembre 2016) ou version ultérieure. De plus, les utilisateurs d’iPhone devront également installer l’application Smart Lock de Google (v1.6 ou ultérieure), qui a été mise à jour lundi pour prendre en charge les smartphones d’Apple en tant que méthode 2FA.
Un didacticiel étape par étape sur la façon de configurer votre iPhone en tant que clé de sécurité pour votre compte est disponible dans ce document d’assistance Google.
Si l’iPhone pourra fonctionner comme clé de sécurité, c’est grâce à la prise en charge par Apple des enclaves sécurisées dans ses puces T1, qui ont commencé à être livrées avec les appareils Apple à l’automne 2016. Les enclaves sécurisées permettent à l’iPhone de calculer des opérations cryptographiques dans un environnement sécurisé, similaire au fonctionnement des clés de sécurité physiques.
Mises à jour du programme de protection avancée de Google
Avec l’expansion d’aujourd’hui, Google permet désormais aux utilisateurs de remplacer les clés de sécurité physiques par leurs téléphones. Cette modification entraînera également une modification du programme de protection avancée (APP) de Google.
L’APP est un programme de Google destiné aux utilisateurs confrontés à des risques de sécurité plus élevés que les autres, tels que les politiciens, les chefs d’entreprise et les journalistes. Ces utilisateurs peuvent s’inscrire à l’application Google et bénéficier de fonctionnalités de protection de sécurité supplémentaires, fournies par Google sans frais supplémentaires.
Avant de créer des clés de sécurité pour smartphones Android et iPhone, les utilisateurs de Google avaient besoin d’une clé de sécurité hardware distincte pour s’inscrire au programme.
Maintenant, que les androïdes et les iPhones peuvent fonctionner comme clés de sécurité, cela ne sera plus nécessaire, et les utilisateurs pourront s’inscrire à l’APP uniquement avec leur téléphone, ce qui facilitera l’inscription de plus d’utilisateurs, en particulier dans les pays et les régions des clés de sécurité matérielles globa ne sont pas disponibles à l’achat partout.
Cette décision est plus que bienvenue de la part de Google. Dans une étude conjointe menée avec The Harris Poll, les deux sociétés ont interrogé 500 utilisateurs à haut risque vivant aux États-Unis, y compris des politiciens et leur personnel, des journalistes, des influenceurs et des dirigeants d’entreprise. Selon les résultats de l’enquête, il était clair que cette catégorie d’utilisateurs était confrontée à plus de menaces de sécurité que les autres, et qu’ils avaient besoin de toute protection supplémentaire qu’ils pouvaient obtenir:
- 74% déclarent avoir été la cible d’une tentative de phishing ou compromis par une attaque de phishing; parmi eux, 72% disent que l’attaque leur était adaptée
- 65% déclarent être plus préoccupés par le piratage de leurs comptes en ligne aujourd’hui qu’il y a un an
- 46% conviennent qu’ils n’ont pas changé la façon dont ils protègent leurs comptes en ligne contre le piratage parce que c’est trop complexe ou trop gênant
- 60% des politiciens n’ont pas mis à jour de manière significative la façon dont ils sécurisent leurs comptes en ligne contre le piratage suite à la violation de DNC en 2016