Google a déclaré au magazine Business Insider qu’aucun de ses employés n’avait été piraté avec succès depuis qu’elle avait commencé à leur demander d’utiliser des clés de sécurité pour se connecter. L’hameçonnage (le phising) ou l’utilisation de courriels trompeurs pour voler des mots de passe, est l’une des façons les plus courantes de se faire pirater. Google attribue son succès aux produits baptisés clés de sécurité, ou aux périphériques USB dont vous avez besoin en plus d’un mot de passe pour vous connecter à un compte protégé.

L’un des moyens courants de piratage est le phishing ou le spearphishing. Fondamentalement, les attaquants créent un e-mail qui ressemble à quelque chose sur lequel vous cliqueriez normalement, comme une facture ou un e-mail vous demandant de changer votre mot de passe. Les personnes qui ne se doutent de rien cliquent sur le lien dans le courriel d’hameçonnage, ce qui les amène à un site conçu pour paraître légitime. La victime tape son nom d’utilisateur et son mot de passe, le donnant involontairement à l’attaquant. Résultat : Il y a de fortes chances que ce compte soit piraté.

Le Spearphishing a été l’une des principales façons dont les espions russes ont réussi à entrer dans le réseau du Comité national démocrate avant les élections américaines de 2016, selon le ministère de la Justice.

C’est un gros problème pour les entreprises. Vous pouvez vous assurer que vos ordinateurs sont aussi sécurisés que possible, mais tout ce qu’il faut, c’est un employé ayant accès à des données sensibles qui se fait berner par un e-mail pour provoquer une violation.

Une entreprise, cependant, semble avoir résolu le problème de phishing: Google. Et tout cela grâce à un gadget de 20 dollars baptisé clé de sécurité, que Google demande à ses employés d’utiliser.

Aucun des 85 000 employés de Google n’a été piraté avec succès sur son compte professionnel depuis qu’elle a commencé à exiger des clés de sécurité pour se connecter, a indiqué la société.

Google a commencé à demander aux employés d’utiliser des clés de sécurité physique au début de 2017, selon Brian Krebs, un journaliste spécialisé en sécurité qui a signalé pour la première fois le succès de Google contre les tentatives de phishing.

YubiKey NeoYubiKey

Votre entreprise peut déjà exiger que l’authentification à deux facteurs soit activée, ce qui signifie que lorsque vous vous connectez avec un nom d’utilisateur et un mot de passe, vous devez saisir un second code, généralement envoyé par texto ou par une application.

Google a fait un pas de plus et a demandé à tous les employés de commencer à utiliser des clés de sécurité, selon Brian Krebs. Au lieu d’obtenir un texto après avoir entré votre mot de passe, il vous suffit de brancher la clé de sécurité dans un port USB sur votre ordinateur et d’appuyer sur un bouton.

C’est un très gros succès pour une si grande entreprise. Google a beaucoup de données sensibles sur les utilisateurs, il est donc très encourageant de savoir que ses employés ne sont pas « hameçonnés ».

Vous pouvez utiliser une clé de sécurité avec votre propre compte Gmail. Les modèles YubiKey compatibles avec les périphériques USB, USB-C et mobiles sont disponibles chez Yubico.

En octobre, Google a lancé un programme de protection avancée comportant des clés de sécurité pour les personnes les plus exposées au risque d’être hameçonnées, notamment les journalistes, les chefs d’entreprise et les activistes. Google a également travaillé avec divers groupes de l’industrie, tels que l’Alliance FIDO, pour développer une technologie de clé de sécurité appelée U2F.

Une étude de Google en 2016 a révélé que l’authentification à deux facteurs basée sur un message texte ou une application, parfois appelée «mot de passe à usage unique», avait un taux d’échec moyen de 3%, alors que l’approche U2F ou par clé de sécurité avait un taux d’échec de 0%.

Il y a plus de détails sur la façon dont l’approche de Google en matière d’authentification et de sécurité de la connexion commence à porter ses fruits chez «Krebs on Security ».

http://www.businessinsider.fr/us/none-of-googles-employees-get-phished-because-of-yubikey-security-key-2018-7

https://www.amazon.com/Yubico-Security-Key-USB-Authentication/dp/B07BYSB7FK/ref=pd_bxgy_147_3?_encoding=UTF8&pd_rd_i=B07BYSB7FK&pd_rd_r=9Z72YR1WA9TPYZZX182E&pd_rd_w=GWzis&pd_rd_wg=JcdsR&psc=1&refRID=9Z72YR1WA9TPYZZX182E&dpID=51lS%252BLIvb6L&preST=_SY300_QL70_&dpSrc=detail

https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/

https://www.amazon.com/Yubico-YubiKey-NEO-USB-Authentication/dp/B00LX8KZZ8

https://www.yubico.com/

https://www.theverge.com/2017/10/17/16488572/google-advanced-protection-phishing-fraud-security-keys

https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/