La messagerie Gmail ultra-sécurisée?

Un autre regard ?

Merci de partager cette enquête : https://goo.gl/7TKUsX

La nouvelle est relayée par 20mn:

Avec une forme qui ressemble à un véritable message marketing !


La messagerie Gmail devient ultra-sécurisée
Google propose depuis peu l’Advanced Protection, un système qui augmente drastiquement la sécurité de son déjà excellent système de messagerie, Gmail.
Le dispositif de sécurité va de pair avec une clé physique à brancher à l’ordinateur ou à associer en Bluetooth à une app sur smartphone. (Google)
La sécurité de l’accès aux boîtes mail est un élément récurrent touchant à des histoires qui ont défrayé la chronique. On se souvient encore récemment de l’affaire touchant John Podesta, proche conseiller d’Hillary Clinton, qui avait vu ses mails privés livrés à WikiLeaks avec de graves répercussions à la clé.
Pour éviter que de telles attaques se produisent, Google a introduit une nouvelle fonctionnalité dans son service de mails, Gmail: l’Advanced Protection. Bien que Google souligne que ce nouveau système de sécurité s’adresse en priorité aux utilisateurs à «haut risque», il est d’ores et déjà activable par tout un chacun.
Plus efficace que l’identification à deux facteurs, le système se base sur une clé physique à brancher à l’ordinateur ou une clé Bluetooth associée à une application sur smartphone. Des clés que Google propose pour une quarantaine de francs.
Si le nouveau système ajoute une protection qui se veut nettement plus efficace, puisqu’il devient impossible de se connecter au compte Gmail sans disposer de la clé sur son PC ou smartphone, le système comporte toutefois un inconvénient majeur, en plus de devoir toujours emporter sa clé avec soi. Par mesure de sécurité supplémentaire, sur les smartphones, les applications tierces ne pourront plus accéder à Gmail, aux contacts, ainsi qu’à l’agenda, tandis que Chrome sera le seul navigateur web accepté pour se connecter à un service Google.
Originally published at www.20min.ch.

La communication de Google :

La meilleure protection contre l’hameçonnage
L’hameçonnage est l’une des techniques les plus fréquemment utilisées par les pirates informatiques pour accéder à votre compte ou à vos informations personnelles. Les e-mails d’hameçonnage ou les fausses pages de connexion peuvent, par exemple, tenter de vous soutirer des informations personnelles, comme votre mot de passe.
Pour vous protéger de manière optimale contre l’hameçonnage, le programme Protection avancée va au-delà de la validation en deux étapes. Vous devrez vous connecter à votre compte à l’aide d’un mot de passe et d’une clé de sécurité physique . Les autres facteurs d’authentification, tels que les codes envoyés par SMS ou l’application Google Authenticator, ne fonctionneront plus.

Premier mensonge

Cela reste de l’identification à 2 facteurs, et pas “au-delà” !

C’est quoi l’identification à 2 facteurs ? ou 2FA ! L’accès à un service est sécurisé par 2 facteurs: Le mot de passe dans votre mémoire, et la clef matérielle dans votre poche: Comme un digicode doublé d’une serrure à clef.

Le fait de basculer d’un code via texto SMS (ou une App) sur un mobile, vers un matériel dédié (clef de sécurité physique, qui remplace le mobile) présente toutefois un moindre risque de piratage du smartphone…

Surtout si celui-ci n’est sécurisé que via un compte Google qui vient justement de se faire ‘hacker’. On peut souvent alors géolocaliser le smartphone, pratique, pour le voleur ! Surtout si les codes de portes d’immeuble ou verrouillage du téléphone sont dans les fiches ‘contacts’ de google, ou dans une liste sous Gdrive, cadeau…

Donc c’est mieux, mais c’est toujours du 2FA (2 Factors Authentication).

Mais pire, le 2nd mensonge !

En quoi cela va-t-il vous protéger d’un Phishing ? (Hameçonnage)

En réalité, cela ne vous en protège pas ! Simplement, si vous vous laissez prendre et donner votre mot de passe, grâce à la double identification, le pirate qui aura récupéré le mot de passe ne peut pas accéder à votre compte… Gmail dîtes-vous ?

3ème “mensonge”, Gmail ?

Ce n’est largement pas QUE Gmail, qui est menacé !

Mais disons que c’est juste une simplification du langage, pour être compris par le plus grand nombre, y compris par les digital naïfs, de tous âges… Ne serait-ce pas plus pertinent de les instruire ? Mais est-ce la réelle volonté des GAFAM ? Et finalement, de réduire la visibilité des risques pris, en utilisant Google comme identifiant, cela ne servirait-il pas ses intérêts ?

C’est le compte Google qui est concerné, et tout ce qui y sera associé: Gmail bien sûr (mais pas obligé de l’avoir activé), mais c’est aussi tous les autres mots de passe mémorisés dans Chrome, Hangout, Fit, Maps, Business local, Adwords, Docs, Forms, Groups, Drive, Photos, Home, Music, Google+, YouTube, Blogger, Analytics, eBook (Kiosk)… J’ai dû en oublier, mais il faut encore ajouter toutes les applications que vous avez autorisées via votre compte Google :

https://myaccount.google.com/security#connectedapps (lien à utiliser après s’être fait identifié par Gogol…). J’évite un max pour ma part, mes plus de 600 services testés sont mémorisés autrement…

Vous commencez à comprendre pourquoi je milite pour le 2FA (Identification à double facteur), partout, par défaut ? Mais cette option “avancée”, c’est du flan marketing, avec quelques biais ci-après ! Activer simplement la double identification sera un bon début.
https://myaccount.google.com/security#connectedapps

Un service “public gratuit” offert par Google (mais aussi Facebook, Twitter, LinkedIn et d’autres) devenir la clef de multiples services web, et ainsi, mieux surveiller vos activités, vos préférences, vos choix, votre maturité numérique…

Et quand j’affiche ceci, je tombe sur une question d’une étude Google intéressante: Mais dont vous n’aurez pas le résultat ! Ou pas de certitudes…

Alors je vous en refais une autre, pareille, merci de partager !

Avec le Google Form, mais dont je partagerai le résultat ! Mais je ne prends que la première question ! Je suis un Fan de Gogol, j’adore ce qu’ils font, si, si!

https://goo.gl/7TKUsX

Suite des “Features” de Advanced Protection !

Accès aux données restreint aux applications de confiance
Lorsque vous vous inscrivez pour utiliser de nouvelles applications ou de nouveaux services, ceux-ci demandent parfois à accéder à vos données, notamment à vos e-mails ou à vos documents. En leur accordant cette autorisation, vous risquez de provoquer des failles de sécurité qui pourraient être utilisées pour accéder à vos données personnelles. Une application de confiance pourrait, par exemple, être exploitée ou des pirates informatiques pourraient se faire passer pour ce service.
Pour vous protéger de cette menace, le programme Protection avancée empêchera automatiquement les applications tierces d’accéder à vos données les plus sensibles : vos e-mails et vos fichiers Drive. Conséquences de ces mesures de sécurité plus strictes :
Accès à Gmail et à Google Drive
Les applications tierces demandant l’accès à Gmail ou à Google Drive n’en auront plus l’autorisation. Pour un accès sécurisé, vous devrez utiliser l’application Gmail ou Inbox.
Services Google sur le Web
Vous ne pourrez utiliser le navigateur Chrome que pour accéder aux services auxquels vous êtes connecté, tels que Gmail ou Google Photos.
Compatibilité iOS limitée
Si vous êtes un utilisateur d’iOS, vos applications iOS ne pourront plus accéder à Gmail, Contacts ni Agenda.
Bloquer tout accès frauduleux à votre compte
Pour accéder à votre compte, les pirates informatiques prétendent souvent qu’ils ne parviennent pas à s’y connecter en essayant de se faire passer pour vous.
Pour vous offrir la meilleure protection contre ce type d’accès frauduleux à votre compte, le programme Protection avancée ajoute des étapes supplémentaires de validation de votre identité. Si vous ne parvenez pas à vous connecter à votre compte et si vous perdez vos deux clés de sécurité, ces étapes de validation obligatoires supplémentaires permettront, en quelques jours, de rétablir l’accès à votre compte.

Quels sont les réels bénéfices pour l’usager ?

Concernant la protection contre le ‘Phishing’, la double identification est suffisante !

Sauf, si vous vous faîtes pirater votre téléphone portable… Ce qui est actuellement encore rare, mais pourrait se développer.

La récupération des accès en cas de perte du mot de passe, via un SMS reste une solution relativement sécurisée, mais insuffisante pour les cibles trackées, qui se feront “rooté” leur mobile… Ou pirater un mot de passe d’applications !

Visiblement, en mode advanced, la récupération en cas de perte de la clef matérielle, passera par un courrier “papier” (ce qui permettra à Google de récupérer aussi l’adresse postale, si pas déjà partagée…) ?

Le “Blindage” proposé est mieux, dans le sens où les failles via des applications ne seront plus exploitables, puisque les applications tierces ne pourront plus accéder à vos données Google... Mais cela va être une source de terribles frustrations, pour les geeks adeptes de nombreuses applications “connectées” aux services Google.

Le grand gagnant ?

Mais le grand gagnant est réellement Google, en éliminant les compétiteurs, et en forçant l’utilisation de ses propres solutions !

Faut-il mettre en œuvre et utiliser ce service ?
Clairement NON ! (à mon avis Pascal Kotté)

METTRE EN SERVICE LA DOUBLE IDENTIFICATION ! DÉFINITIVEMENT OUI ! ABSOLUMENT !

Cette fichue option “Advanced” va encore perturber des utilisateurs qui vont faire un amalgame malheureux !

Si vous êtes une personne qui a besoin de protections avancées, alors n’utilisez surtout pas ni Google, ni un Android, mais un Blackphone, ou autres solutions !

Si vous êtes une personne normale, pas particulièrement exposée, l’augmentation très effective des inconvénients, ne vaut pas le jeux d’utiliser cette option ! A mon avis… LA DOUBLE IDENTIFICATION EST SUFFISANTE!

Mais je reste à votre disposition si vous souhaitez le mettre en œuvre quand même ! Pascal.KOTTE@ICT-a.ch. Planifier un call, max 20mn: http://callme.kotte.net (un service de prise de RdV greffé sur mon agenda Google)