Google a déployé de nouvelles fonctionnalités de sécurité conçues pour rendre la récupération de compte plus facile et plus sécurisée, notamment un nouveau système de « Contacts de récupération » qui permet aux utilisateurs de faire appel à des amis ou à des membres de leur famille de confiance pour les aider à retrouver l’accès en cas de verrouillage. La mise à jour résout un problème de longue date pour les utilisateurs : le processus souvent frustrant et long de récupération des comptes piratés ou perdus.
Nouvelles options de récupération : au-delà des mots de passe
Le cœur de la mise à jour est la fonctionnalité Contacts de récupération, qui fonctionne de manière similaire à la bouée de sauvetage « Téléphoner à un ami » sur Qui veut gagner des millions ?. Les utilisateurs désignent un nombre limité de personnes de confiance qui peuvent vérifier leur identité et accorder à nouveau l’accès au compte. Ce système ne remplace pas les méthodes traditionnelles telles que les e-mails de récupération ou les numéros de téléphone, mais constitue une couche de sécurité supplémentaire.
La démarche consiste à envoyer une invitation au contact choisi, qui doit ensuite accepter. Si le compte est compromis, l’utilisateur verra une option lui permettant de demander de l’aide à son contact, qui recevra une invite de vérification sur son appareil. Une fois vérifié, l’utilisateur peut retrouver l’accès et réinitialiser ses informations d’identification. Google souligne que les contacts de récupération ne peuvent pas reprendre les comptes unilatéralement et que les mesures de protection incluent des délais et des notifications de sécurité.
Répondre aux problèmes de confidentialité
Bien que pratique, la fonctionnalité Contacts de récupération soulève des questions en matière de confidentialité. Google dispose désormais de davantage de données sur les connexions sociales des utilisateurs, qui pourraient être utilisées à mauvais escient. La société insiste sur le fait que ces informations ne seront utilisées qu’à des fins de sécurité, mais des experts comme la rédactrice en chef de CNET, Lori Grunin, soulignent que cela élargit le réseau d’associations entre individus de Google.
“D’un côté, Recovery Contacts est une très bonne idée”, a déclaré Grunin. “D’un autre côté, cela aide Google à construire un réseau d’associations entre des personnes qu’il n’aurait peut-être pas eu autrement et qui pourrait potentiellement être utilisé à mauvais escient.”
Beyond Friends : récupération de numéro de téléphone et protection des messages
La refonte de la sécurité de Google s’étend au-delà de la fonctionnalité Contacts de récupération. Les utilisateurs peuvent désormais utiliser leur numéro de téléphone comme méthode de récupération et la société renforce les protections au sein de Google Messages. Un nouveau système de vérification des liens avertira les utilisateurs si les liens entrants sont signalés comme spam, tandis que l’outil « Key Verifier » utilise des codes QR pour authentifier les contacts dans l’application de messagerie.
Ces mesures sont cruciales car les fraudeurs exploitent fréquemment les messages texte pour tromper leurs victimes. Selon Lance Spitzner, directeur de SANS Workforce Cybersecurity Training, la nouvelle fonctionnalité de vérification des liens de Google peut bloquer les attaques de phishing avant qu’elles ne réussissent.
La confiance humaine comme nouvelle surface d’attaque
Les experts en sécurité préviennent que tout système reposant sur la confiance humaine est vulnérable à l’ingénierie sociale. Aaron Rose, responsable de l’architecture de sécurité chez Check Point Software, note que des acteurs malveillants pourraient manipuler des contacts de confiance pour y accéder.
“Tout système qui repose sur la confiance humaine (comme la désignation de contacts de rétablissement) peut être socialement conçu”, a déclaré Rose. “Nous avons vu des tactiques similaires utilisées dans des systèmes de compromission de messagerie professionnelle, où la manipulation émotionnelle, et non la technologie, est le point d’entrée.”
Google affirme disposer de mesures de protection intégrées pour empêcher toute utilisation abusive, notamment en limitant le nombre de contacts de récupération et en exigeant plusieurs vérifications. L’entreprise souligne également qu’elle ne demandera jamais d’informations personnelles par téléphone.
En fin de compte, les fonctionnalités de sécurité étendues de Google représentent un pas en avant dans la protection des comptes d’utilisateurs, mais elles ne sont pas infaillibles. La défense la plus efficace reste une combinaison de mots de passe forts, d’authentification à deux facteurs et d’une bonne dose de scepticisme.
