Une récente étude de Google révèle que le simple fait d'associer votre compte Google à un numéro de téléphone pour récupérer un accès en envoyant un code par SMS peut bloquer 100 % des bots, 99 % des attaques d’hameçonnage de masse et 76 % des attaques ciblées.
Nous recommandons toujours aux utilisateurs d'utiliser l’authentification à deux facteurs (2FA) dans chacun des services et comptes, ce qui est possible. Il s'agit d'une fonction qui ajoute une couche de sécurité supplémentaire et rend l'accès à nos comptes plus difficile pour les tiers en cas de vol de nos identifiants d'accès ou de fuite à la suite d'une brèche de sécurité affectant un service que nous utilisons. Le récent rapport publié par Google confirme que son utilisation est très efficace pour prévenir le détournement de compte.
Menées conjointement avec des chercheurs de l'Université de New York et de l'Université de Californie à San Diego, cette étude a demandé la collecte de données pendant un an, principalement sur les attaques à grande échelle et ciblées. L'objectif de la recherche était de démontrer l'efficacité des pratiques de base en matière de cyberhygiène pour empêcher les cybercriminels de pirater les comptes des utilisateurs.
Pour ceux qui l’ignorent, Google ajoute automatiquement un niveau de sécurité supplémentaire pour empêcher un tiers d'accéder au compte d'un utilisateur sans son consentement. Ainsi, chaque fois que Google identifie un comportement suspect au moment où il souhaite accéder à un compte, qu'il s'agisse d'un nouvel emplacement ou d'un appareil sur lequel il ne s'est jamais connecté à l'un de ses comptes auparavant, Google demande des informations supplémentaires pour prouver que celui qui tente de se connecter au compte en est bel et bien le propriétaire.
De la même manière que le numéro de téléphone est utilisé pour envoyer un code par SMS et établir une dynamique d'authentification à deux facteurs, il est possible d'obtenir un niveau de protection similaire en utilisant le 2FA, mais à travers le dispositif (plutôt que par SMS). Selon l'étude, bien qu'ils présentent des résultats similaires au l’authentification par SMS, l'envoi de messages de confirmation basés sur le dispositif s’avère plus sûr. En ce sens, l'envoi de messages de confirmation à travers l'appareil peut être utile pour prévenir 100 % des attaques causées par des robots automatiques, 99 % des tentatives d’hameçonnage de masse et 90 % des attaques ciblées. Dans ce dernier point est que l’authentification à deux facteurs basée sur l'appareil offre de meilleurs résultats que celle basée sur le message SMS, qui présentait une efficacité de 76 %.
Comme l'explique la société sur son blog de sécurité, l'étude a enquêté sur des groupes criminels qui, pour environ 750 $ US, proposent à la clientèle l’accès à un compte spécifique. Ces groupes se fient généralement à l'envoi de courriels d'hameçonnage ciblés prétendant être un parent, un collègue ou Google lui-même. Si les ciblent ne tombent pas dans le piège à la première tentative, des courriels d'hameçonnage ciblés continueront d’être envoyés pendant environ un mois.
Comme le montrent les données de cette étude d'un an, l'association d'un numéro de téléphone à votre seul compte Google peut prévenir jusqu'à 66 % des attaques ciblées. Il est donc fortement recommandé d'activer le facteur de double authentification basé sur les SMS ou l'appareil. La grande majorité des services utilisés par les utilisateurs disposent de cette fonction de sécurité, qu’on parle de réseaux sociaux tels qu’Instagram, Twitter ou Facebook ou de jeux comme Fortnite.