Google remplacera les codes SMS Gmail dangereux par une vérification par scan QR
Depuis que Google a activé la vérification en deux étapes pour Gmail et d'autres protocoles d'authentification liés dans son écosystème, les codes SMS sont devenus un pilier. Mais selon les analyses de sécurité, les codes SMS sont notoirement dangereux, surtout lorsque le canal de communication n'est pas crypté. Cela est enfin sur le point de changer, puisque les codes SMS seront bientôt remplacés par des codes QR pour l'authentification Gmail.
En matière de sécurité des comptes, les SMS ne constituent pas le choix le plus fiable pour recevoir des codes de vérification sensibles ou des mots de passe à usage unique (OTP) sur les téléphones. C'est pourquoi, au cours des dernières années, Google a progressivement développé des alternatives de mot de passe telles que les invites Google sur l'appareil , les applications d'authentification , les clés de sécurité matérielles et le système Passkey pour minimiser les risques tels que le phishing par SMS.
Google prévoit désormais de supprimer complètement la vérification par SMS pour l'authentification Gmail (et avec elle, le compte Google). « Tout comme nous voulons dépasser les mots de passe en utilisant des éléments comme les mots de passe. Nous voulons abandonner l'envoi de messages SMS pour l'authentification", a déclaré le porte-parole de Gmail, Ross Richendrfer, cité par Forbes .
Pourquoi les SMS sont-ils dangereux ?
Obtenir des codes via un message texte est pratique, mais ce n'est pas seulement le chemin et les techniques de phishing élaborées qui font des SMS un itinéraire dangereux. L'échange de carte SIM, l'ingénierie sociale et les attaques par usurpation d'identité sont également des techniques assez connues, et lorsque ces plans sont exécutés, le propriétaire légitime ne reçoit jamais ses codes de vérification par SMS.
Cela les laisse bloqués sur leur propre compte Gmail et sur tous les services de base qui y sont liés, qui incluent également des services tiers qui nécessitent une connexion à un compte Google. De plus, dans les scénarios où les utilisateurs n'ont pas accès aux réseaux cellulaires, obtenir les codes de connexion par SMS devient un autre défi.
Comment les codes QR peuvent-ils vous aider ?
Au cours des prochains mois, Google prévoit de remplacer les codes SMS à six chiffres et affichera un code QR que les utilisateurs devront simplement scanner avec l'application appareil photo de leur téléphone. La société n'a pas partagé beaucoup de détails techniques sur ces projets, mais il semble que Google créerait probablement un protocole qui nécessiterait une poignée de main sécurisée par code QR avec un téléphone vérifié exécutant le numéro de téléphone enregistré.
Cela ne vaut rien ici que les codes QR ne soient pas intrinsèquement infaillibles. Les escroqueries QR sont également assez courantes. Mais un système de numérisation QR qui nécessite une clé de décodage locale ou une clé publique sécurisée entre seulement deux parties de confiance est beaucoup plus sûr et plus rapide.
Nous avons récemment couvert l'une de ces innovations appelée code QR à double modulation d'auto-authentification (SDMQR), qui a déjà reçu une subvention gouvernementale et pourrait bientôt remplacer les codes-barres dans diverses applications commerciales et industrielles.
Développé par des experts de l'Université de Rochester, un code SDMQR repose sur un système de signature cryptographique qui ne peut être déverrouillé qu'avec une clé privée numérique. Ces codes QR spécialisés ne nécessiteront aucune application de numérisation spéciale et peuvent être mis en œuvre sur des appareils mobiles à travers le monde au niveau du système d'exploitation.