Google

[Récit] Google et la validation du compte en deux étapes

Cela faisait un moment que je voulais vous en parler, mais pour une raison inexpliqué, le début de cet article est resté pendant un bon moment dans les brouillons de WordPress, la plateforme de blog que j’utilise ici.

Je vais donc vous parler d’une petite aventure personnelle qui m’est arrivé il y a bien deux mois de ça, et qui pourrait servir me semble-t-il à bon nombre d’entre vous. Cela concerne la validation du compte en deux étapes.

Si vous ne le savez pas, il est possible de se loger sur son compte Google (ou Gmail) en saisissant votre adresse mail et votre mot de passe. Jusque là, c’est simple, mais cette méthode peut présenter quelques failles de sécurité, en particulier si le mot de passe que vous avez saisi est trop commun. Google, comme tous les autres services d’ailleurs, font les choses en bien et vous donne une indication du niveau de sécurité. Ce n’est certainement pas suffisant, c’est pour cette raison que Google propose depuis un bon moment déjà la validation en deux étapes. Je savais à peu près ce que c’était sans jamais y avoir mis le nez complètement dedans, pour la bonne raison que l’activation de cette fonctionnalité risquait de me poser problème pour me connecter à mon chromebook ! C’était d’ailleurs peut-être un mythe étant donné que j’avais vu ça sur un gros blog US, je n’avais donc pas tenté l’expérience.

Jusqu’à ce qu’une tentative de piratage de compte m’arrive, cela a mené à réfléchir (rapidement de préférence), et j’ai donc décidé d’activer cette fameuse validation. Je ne le regrette pas ! Je vais donc vous raconter rapidement ce qu’il s’est passé (c’est pour ça que j’ai appelé ça « récit »), et vous donner mes quelques conseils.

mail-pirate

J’ai donc un collègue qui s’est fait piraté son compte mail, le mot de passe qu’il utilisait était sa date de naissance. La chose à ne surtout pas faire. Mais ce n’est pas tout le monde qui est capable d’apprécier le niveau de dangerosité de ce qu’on fait sur Internet, ou qui s’y intéresse. Ce piratage me laisse penser qu’il y a une main derrière (entendez par là que je pense que ça a été fait manuellement), car le pirate en question a été sacrément malin.

Il a adressé un mail à tous les contacts de ce compte (je l’ai donc reçu), avec les messages que vous connaissez désormais tous, « je suis parti à l’étranger, j’ai un gros souci… bla bla bla… il faut m’envoyer de l’argent… bla bla »

Naturellement, on ne s’y laisse pas prendre, mais vous allez comprendre pourquoi je dis que le pirate a été très malin. Il a laissé la signature du mail tel quelle, mais en prenant soin de modifier les coordonnées téléphoniques uniquement. Tous les débutants avaient donc matière à se faire prendre. De mon côté, je ne me suis pas fait avoir, mais ça m’a pris une journée pour me rendre compte que les numéros avaient été changés. Certainement que certains ont du appeler sur ces numéros (surtaxés ?).

Toujours est-il que ce fut une réaction en cascade. Sa boîte mail personnelle hébergée sur LaPoste.net s’est faite piratée, son compte Ebay aussi… et ainsi de suite.

LaPoste.net a rapidement réagi en bloquant les accès, et en remettant sa boîte dans son était initial, à peu près 4 ou 5 jours avant ce piratage. En revanche, pour Google, il était mentionné dans la récupération du compte qu’il fallait un traitement de 3 à 5 jours ouvrés si mes souvenirs sont bons, nous n’avons jamais eu de retour. Cette demande de récupération était malgré tout intéressante, si cela vous arrive, sachez que Google va vous poser un certain nombre de questions, du genre « citez entre 3 et 5 contacts à qui vous écrivez régulièrement », « citez quelques libellés présent sur votre boîte mail » (c’est con, il n’en avait pas, alors que j’en ai une trentaine de mon côté !)…

Bref, mon collègue a laissé tombé cette adresse mail qu’il avait créé pour le boulot, il n’a pas donné suite, je ne sais donc pas si Google a réagi par la suite.

accès-compte

Quelques jours plus tard, ce fut mon tour, et une tentative d’accès à mon compte a été menée depuis les Etats-Unis. J’ai reçu un mail de Google me signalant cette activité suspecte, et qui avait été bloquée. Je ne vous cache pas que je suis très étonné, car la tentative d’accès aurait été faite en saisissant mon mot de passe, sauf que ce mot de passe, je ne l’ai jamais communiqué à qui que ce soit, je ne l’ai jamais écrit sur quoi que ce soit, que ce soit papier ou support numérique, et c’est un mot de passe unique que j’utilisais sur mon compte perso Google uniquement ! C’est donc une donnée qui m’échappe, je ne comprends pas comment on a pu accéder à ce mot de passe, je me dis que je l’ai peut-être saisi sur un PC sur lequel était présent un programme malveillant. En fait, je ne vois que cette possibilité.

Par grosse peur, je n’ai donc pas attendu longtemps, j’ai décidé de modifier mon mot de passe illico presto, et d’activer la validation en deux étapes. Concernant le mot de passe, c’est simple, il a plus de 10 caractères, et il contient des lettres en minuscules, en majuscules, des chiffres et des caractères spéciaux.

J’en viens donc à cette validation que je trouve absolument géniale. Si vous ne connaissez pas le principe, je vous l’explique très rapidement. Dès que vous voulez accéder à votre compte sur un PC que vous n’avez jamais utilisé, vous devez saisir un code d’accès à 6 chiffres que vous recevez immédiatement sur votre téléphone portable. A savoir, dans le paramétrage, j’ai saisi en téléphone de contact mon portable perso, et en cas de perte ou de vol, mon numéro de fixe puisque l’envoi du code peut se faire par messagerie vocale. Waouhh !

A chaque connexion sur un nouveau portable, il faut donc saisir mon mail, mon mot de passe, puis le numéro à 6 chiffres que Google m’envoie immédiatement. On peut demander à ce que notre compte se souviennent de l’ordinateur qu’on utilise pour ne pas avoir à ressaisir de code. Je refuse de le faire, il n’y a que 2 ordinateurs où je l’ai validé, mon chromebook à la maison et mon PC au boulot. Jusqu’à maintenant, ça a toujours fonctionné, je n’ai eu aucun souci avec les applications que j’utilise au quotidien, que ce soit sur mon smartphone ou mon chromebook (comme quoi l’info que m’avait donné ce blog US était une pure invention).

On sait que certaines applications ne fonctionnent pas avec la validation en deux étapes. Lorsque c’est le cas, j’estime que ce n’est pas assez sécurisé, je supprime illico l’application.

Par souci de sécurité, je suis allé faire un tour dans mes droits d’accès que j’ai laissés aux applications du Play Store et aux extensions du Chrome Web Store. J’ai fait un ménage énorme, en supprimant des autorisations d’applications que je n’utilisais plus depuis bien 2 ou 3 ans.

Pour conclure ce récit, et en m’appuyant sur mon vécu personnel, je ne peux que vous conseiller d’activer la validation en deux étapes. Sachez en tout cas que cela m’a fait beaucoup réfléchir sur le problème de la gestion des données, leur sécurisation et leur confidentialité, je crois d’ailleurs que c’est au centre des débats pour beaucoup d’entre vous à l’heure actuelle.

PS: Pour info, Google va sécuriser un peu plus ses mots de passe sur Chrome, une décision qui arrive certainement après le mini scandale qui avait eu lieu sur le problème de l’accès aux mots de passe sur Windows. Cette sécurisation sera donc inutile si vous n’avez pas d’accès au PC par mot de passe.

Si vous laissez un commentaire en fin d’article, ça voudra dire que vous avez tenu jusqu’à la fin, alors, du coup, j’espère que ce récit vous aura convaincu ! N’hésitez pas si vous avez besoin d’infos complémentaires.

A propos de l'auteur

Christophe

Passionné de high-tech et fasciné par Google, ce blog est un "laboratoire" permettant de m'exprimer sur les différents services et produits de Google, en premier lieu les chromebooks et les appareils Nexus

18 commentaires absolument uniques ont été postés à ce jour

  • Par exemple si tu installes ton compte gmail sur iphone, tu n’auras pas la validation en deux étapes.

    Il faudra demandé un password juste pour cette application. Très simple.

  • J’ai pas compris !? Dans tous l’article, je parle de connexion au compte via un ordinateur… et je dis que j’ai eu aucun souci pour me connecter à mon téléphone Android avec mon compte perso.
    Désolé, un iPhone, je sais pas ce que c’est
  • Très chouette article! Mais tu n’a pas parler de Google authenticator ?
    Je l’utilise de puis un an et je trouve ça très efficace !

    Merci pour ton blog !

  • Je vois le genre aussi ! désolé et adieu

    Un petit PS au cas où tu repasses: désolé si je t’ai froissé, mais j’ai juste rédigé l’article en à peu près 1h – 1h30, et tu me laisses un message de 2 lignes en parlant de l’iphone, et surtout, je n’ai absolument pas compris si tu posais une question, ou si c’est une affirmation ou quoi que ce soit d’autre. Tu peux comprendre que j’en ai marre de lire des commentaires comme ça. Si tu comprends pas, c’est pas grave, je te retiens pas.

  • La plupart des applications « pour ordinateur » ne permettent pas d’utiliser la validation en 2 étapes, ce qui est, malheureusement, normal car :
    1-il n’y a pas de standard permettant une implémentation universelle dans tous les logiciels
    2-la plupart des fournisseurs de services ne proposent pas cette option

    Quoiqu’il en soit, il serait bon préciser dans l’article la possibilité d’utiliser des mots de passe unique par application, comme pour l’iPhone de Sebastien.

    Dire qu’une application n’est pas sécurisée car elle ne gère pas l’OTP de Google est faux et nuit à la sécurité des utilisateurs. Tu dis toi même que tu ne l’avais pas mis en place car ça n’était pas compatible avec les chromebook (et c’est vrai que ça ne l’était pas au début).

    Par contre, je suis d’accord sur le fait que toutes les applications qui s’appuient sur un compte Google devraient être compatibles avec l’OTP, mais comme les applis Google ne le sont pas toutes … mais ça progresse.

  • ok, merci pour les précisions. Ce récit que je fais est lié à une expérience personnelle, cela ne veut effectivement pas dire que j’ai complètement raison.
  • Salut,

    Je confime pour authenticator, un must have je trouve quand on active la double authent !

    A essayer d’urgence 🙂

  • Je veux simplement ajouter qu’Authenticator est également disponible sur tous les appareils iOS, et que tu peux l’utiliser simultanément pour plusieurs comptes Google si c’est nécessaire.

    Pour les mots de passe auto-générés spécifiques aux applications, je croyais au début que cela rendait la double authentification trop lourde et plutôt inutile, mais ce n’est pas le cas.
    C’est un peu long à expliquer, et il y a sûrement plusieurs articles sur le net qui traitent du sujet. Mais pour avoir perdu un appareil récemment, je dois dire que tout ceci c’est révélé très utile.

  • je voulais vous dire que la double validation a du plomb dans l aile , elle aussi.
    Je suis victime de piratage telephonique ( fixe et portable) clairement identifiés, et je ne peux donc me faire envoyer un code en message oral sur le fixe aussi bien que sur mon tel portable;au debut c etait impeccable mais depuis 6 mois je recois le code de validation avec plus de temps qu ‘avant apres la serie des – chiffres il y a un point d ‘interrogation systematique et surtout ç fois sur 10 ce n est pas google qui m envoit ce code mais un numero de portable ou un numero de tel fixe ! j ai comparé avec d autres personnes ayant activé le code de validation je suis la seule dans ce cas de figure!!!
    on me dit que quelqu un intercepte ( à partir de mon reseau) l ouverture de mon compte et fait je ne sais quoi pour un code de valaidation .Comment faire pour ne plus avoir cela??
    Comment faire pour que ce soit vraiment google qui m envoit directement le code de validation et pas un pseudo code ( mais qui marche) j ai changé plusieurs fois de mots de passe, intervertissant caracteres lettres et chiffres, minuscules et majuscules au minimum avec 18 caracteres differents , rien n ‘y fait!
    dois je le signaler par écrit en recommandé par exemple à google??
    QUELQU UN PEUT IL M AIDER EN URGENCE SVP

Laissez vous aussi un commentaire exceptionnel (ou pas !)

Partage cet article par mail