Google lance un ensemble de nouvelles fonctionnalités de sécurité avec pour conséquence d'ultra-sécuriser ses services. Clés physiques, scans poussés, absence de passerelles avec des services tiers : on gagne en protection ce que l'on perd en confort. Notons que ce programme est purement facultatif.
Malgré une prise de conscience somme toute relativement récente, les éditeurs affichent une nette préférence pour le confort d’utilisation, aux dépens parfois (souvent ?) de la sécurité. Au nom d’une expérience utilisateur fluide, ces mêmes utilisateurs seront moins protégés. Google vient de lancer un ensemble de fonctionnalités prenant le contrepied de cette tendance.
Evidemment rien n’est obligatoire. A aucun moment Mountain View ne vous mettra le couteau (ou la mise à jour forcée) sous la gorge. Son programme Advanced Protection s’adresse avant tout aux utilisateurs à haut risque : hommes et femmes politiques, activistes, dissidents, journalistes… Ce qui n’empêche pas n’importe quel internaute d’activer cette protection avancée.
Celle-ci passe par plusieurs mesures. Première d’entre elles, l’accès à un compte Google devra passer par une combinaison mot de passe / clé de sécurité physique, USB pour un accès depuis un ordinateur, dongle Bluetooth pour un mobile. Notons que le géant du Web accepte toute clé approuvée par la FIDO : il supporte depuis 2014 les clés U2F (Universal 2nd Factor).
Anti-phishing
En cas de perte du mot de passe ou des clés, il ne suffira pas de cliquer sur l’habituel « J’ai oublié mon mot de passe ». Le processus de récupération d’un compte promet d’être plus long et plus contraignant, bien que Google ne précise pas la procédure. « Les autres facteurs d'authentification, tels que les codes envoyés par SMS ou l'application Google Authenticator, ne fonctionneront plus » ajoute Mountain View.
En outre, Google coupe les ponts. Toute application tierce se voit interdite d’accéder à Gmail ou Google Drive. Bye bye les permissions trop permissives : seules les applications Google pourront avoir accès à d’autres applications Google. Sur iOS, « vos applications iOS ne pourront plus accéder à Gmail, Contacts ni Agenda » précise l’entreprise. L’interopérabilité en prend un coup : impossible de transférer vos mails automatiquement sur Outlook ou Thunderbird. Mais vous serez au moins assuré qu’aucune application contrefaite ne vienne piller vos mails et autres documents.
Notons enfin que la réception de documents et de pièces-jointes sera retardée d’environ un minute, le temps que Google scanne les fichiers en quête de malwares, envisage une mise en quarantaine et procède à une analyse bien plus poussée qu’avec la sécurité classique de Google. On l’a bien compris, Advanced Protection sacrifie la simplicité d’utilisation (principalement d’accès). Mais comme l’explique à Wired le « chief technologist » du Centre pour la Démocratie et la Technologie, Joseph Lorenzo Hall, « si John Podesta [responsable de la campagne d'Hillary Clinton pour la présidentielle 2016] avait pu l'activer l'année dernière, le monde serait peut-être très différent aujourd’hui ».