La Titan security key offre une sécurité physique supplémentaire en plus du mot de passe.
Comme on dispose d’une clé pour entrer chez soi, Google propose désormais une clé physique pour se connecter à ses comptes en ligne. Le but est de fournir une deuxième couche de sécurité grâce à l'authentification multifactorielle, c'est-à-dire, plusieurs méthodes pour prouver que vous êtes la personne autorisée à vous connecter.
Mercredi 25 juillet, Google a donc annoncé le lancement de sa Titan Security Key. Elle sera dans un premier temps accessible aux professionnels clients de son service Cloud, avant d’être disponible pour tous.
Le mot de passe connaît en effet certaines limites. Piratable, il ne permet pas à lui seul d’authentifier avec certitude le propriétaire d’un compte. Les campagnes d’hameçonnage, ou « phishing », qui trompent l’internaute afin d’obtenir frauduleusement ses mots de passe, ont par exemple fait preuve de leur efficacité et sont devenues monnaie courante.
La clé offre un système performant de double authentification
Pour pallier ce problème, de nombreux services ont développé un système de double authentification où l’utilisateur, après avoir entré son mot de passe, doit passer une étape supplémentaire d’authentification avant de pouvoir accéder à son compte. Le service lui transmet alors un code, par SMS ou sur une application, qui lui permettra de s’identifier.
Avec la Titan Security Key, Google propose une validation en deux étapes, plus sûre encore que la validation par SMS. La clé de sécurité vérifie que vous vous connectez au service pour lequel vous l’avez enregistrée, puis le service s’assure, au moyen d’un microprogramme, qu’il s’agit de la bonne clé de sécurité.
Difficile pour un hacker d’accéder à la clé physique
La clé physique proposée par Google — et d’autres, comme Yubico — permet de se passer de code. Elle rend très difficile pour un hacker d’accéder frauduleusement à un compte, puisqu’il devra accéder à la fois au mot de passe et à la clé physique.
Celle de Google est disponible dans deux versions, l’une fonctionnant par USB, l’autre par bluetooth, au prix de 50 dollars (42,7 euros) les deux. Elles permettront de se connecter à des comptes Google, mais pas seulement. L’entreprise, qui teste le système en interne depuis plus d’un an, s’était vantée il y a quelques jours, de n’avoir repéré aucun cas d’hameçonnage au cours de cette période sur les comptes de ses 85 000 employés protégés par ce dispositif.