Google muscle sa double authentification sur Android. Désormais, dire « Oui, c’est moi » ne suffira plus à prouver que vous êtes bien qui vous prétendez être.

Double authentification : Google en rajoute une couche sur Android © Tero Vesalainen / Shutterstock
Double authentification : Google en rajoute une couche sur Android © Tero Vesalainen / Shutterstock

Mountain View durcit le ton en matière de sécurité. Avec la dernière mise à jour des services Google Play, valider votre identité via les invites Google ne suffira plus : il faudra aussi montrer patte blanche avec une authentification biométrique ou un code PIN. Une précaution bienvenue pour lutter contre l'usurpation des comptes Google dans un contexte cyber de plus en plus tendu, alors que les tentatives de phishing ont explosé en 2024, enregistrant une hausse de 190% de clics sur des liens frauduleux.

De l’A2F à l’A3F pour contrer les accès non autorisés

Avant la mise à jour 25.02.34 des services Google Play, valider une connexion via les invites Google était un jeu d’enfant : il suffisait de tapoter sur un laconique « Oui, c’est moi » pour confirmer son identité. Simple, rapide, mais plus tout à fait suffisant face à la recrudescence des menaces. Désormais, il vous faudra fournir une preuve supplémentaire.

Mountain View déploie en effet une nouvelle mesure de sécurité pour renforcer l’accès aux comptes Google depuis Android. Objectif : contrer les tentatives de phishing de plus en plus sophistiquées – entre pages de connexion factices et publicités malveillantes – mais aussi limiter l’impact du MFA bombing, cette technique qui inonde les utilisateurs de demandes d’authentification jusqu’à ce qu’ils cèdent. Pour valider votre connexion, il faudra dorénavant passer par une authentification biométrique (empreinte digitale, reconnaissance faciale) ou saisir un code PIN. Une précaution qui devrait aussi décourager les tentatives d’accès non autorisé en cas de vol de smartphone.

En pratique, cette nouvelle étape s’intègre directement au processus de validation initiale. Une fois que vous avez appuyé sur « Oui, c’est moi », un écran apparaît en bas de l’interface pour vous demander de confirmer votre identité. Pendant ce temps, les informations habituelles – appareil utilisé, localisation, heure de la tentative – restent visibles en arrière-plan. La procédure est rapide et ne devrait pas affecter l’expérience utilisateur outre mesure.

"Oui, c'est moi", vraiment ? Il va bientôt falloir le prouver sur Android © Clubic
"Oui, c'est moi", vraiment ? Il va bientôt falloir le prouver sur Android © Clubic

Sécurité renforcée ou complexité inutile ?

Évidemment, pour celles et ceux qui viennent de déverrouiller leur téléphone afin de valider leur invite Google, cette vérification supplémentaire pourrait sembler redondante, sinon superflue. Mais dans un contexte de multiplication des menaces, difficile de faire l’impasse sur des mesures plus strictes.

Et pour cause : les cybercriminels ont affiné leurs méthodes, et les attaques reposant sur l’ingénierie sociale ne cessent de se perfectionner. Finis les mails truffés de fautes : aujourd’hui, les pirates exploitent des méthodes bien plus subtiles, comme de faux sites plus vrais que nature, l'empoisonnement SEO, ou encore les publicités malveillantes insérées dans des résultats sponsorisés. De ce point de vue, faire preuve d’un peu d’excès de zèle est vite pardonnable.

Cela dit, Google ne ferme pas la porte aux alternatives. Passkeys, clés de sécurité physiques ou applications d’authentification tierces restent disponibles pour celles et ceux qui préfèrent des méthodes plus classiques. Sur iOS, pas de changements prévus non plus pour le moment : les invites Google fonctionnent toujours sans validation biométrique. Mais au vu de l’évolution des menaces, il ne serait pas surprenant que cette vérification supplémentaire finisse par s’étendre à tous les appareils, quel que soit l’écosystème.

Source : 9to5Google