Depuis que Google a permis la vérification en deux étapes pour Gmail et d'autres protocoles d'authentification liés dans son écosystème, les codes SMS ont été un pilier. Mais selon les analyses de sécurité, les codes SMS sont notoirement dangereux, surtout lorsque le canal de communication n'est pas chiffré. Cela est enfin sur le point de changer, car les codes SMS seront bientôt remplacés par des codes QR pour l'authentification Gmail.
En ce qui concerne la sécurité du compte, SMS n'est pas le choix le plus fiable pour recevoir des codes de vérification sensibles ou des mots de passe ponctuels (OTP) sur les téléphones. C'est pourquoi, au cours des dernières années, Google a régulièrement développé des alternatives de mot de passe telles que les invites Google sur périphérique, les applications d'authentification, les clés de sécurité matérielle et le système Passkey pour minimiser les risques tels que le phishing SMS.
Maintenant, Google prévoit d'éliminer complètement la vérification basée sur SMS pour l'authentification Gmail (et avec lui, compte Google). «Tout comme nous voulons dépasser les mots de passe avec l'utilisation de choses comme Passkeys. Nous voulons nous éloigner de l'envoi de messages SMS pour l'authentification », a déclaré Forbes, porte-parole de Gmail, Ross Richendrfer.
Pourquoi SMS est-il dangereux?
Obtenir des codes via un message texte est pratique, mais ce n'est pas seulement la voie et les techniques de phishing élaborées qui font des SMS une voie dangereuse. L'échange de sim, l'ingénierie sociale et les attaques d'identité sont également des techniques assez connues, et lorsque ces plans sont exécutés, le propriétaire légitime ne reçoit jamais leurs codes de vérification SMS.
Cela les laisse verrouillés de leur propre compte Gmail, et tous les services de base qui y sont liés, qui incluent également des services tiers qui nécessitent une connexion de compte Google. De plus, dans les scénarios où les utilisateurs n'ont pas accès aux réseaux cellulaires, obtenir des codes de connexion via SMS devient un autre défi.
Comment les codes QR peuvent-ils aider?
Au cours des prochains mois, Google prévoit de remplacer les codes SMS à six chiffres et affichera un code QR que les utilisateurs doivent simplement scanner avec l'application de la caméra sur leur téléphone. La société n'a pas partagé de nombreux détails techniques sur ces plans, mais il semble que Google créerait probablement un protocole qui nécessiterait une poignée de main de code QR sécurisé avec un téléphone vérifié exécutant le numéro de téléphone enregistré.
Il ne vaut rien ici que les codes QR ne soient pas intrinsèquement à l'épreuve des infère. Les escroqueries QR sont également assez courantes. Mais un système de balayage QR qui nécessite une clé de décodage locale ou une clé publique sécurisée entre seulement deux parties de confiance, est beaucoup plus sûre et plus rapide.
Nous avons récemment couvert une de ces innovations appelée auto-authentification du code QR (SDMQR) à double modulation qui a déjà reçu une subvention gouvernementale et pourrait bientôt remplacer les codes de barres dans diverses applications commerciales et industrielles.
Développé par des experts de l'Université de Rochester, un code SDMQR s'appuie sur un système de signature cryptographique qui ne peut être débloqué qu'avec une clé privée numérique. Ces codes QR spécialisés ne nécessiteront aucune application de numérisation spéciale et peuvent être implémentés sur des appareils mobiles à travers le monde à un niveau OS.
