Google prépare une évolution majeure pour la sécurité de Gmail en remplaçant les codes SMs par des codes QR pour la vérification en deux étapes. Cette initiative, motivée par l’augmentation des attaques de phishing, vise à renforcer la protection des utilisateurs et à éliminer les vulnérabilités inhérentes aux messages texte.
Google prévoit d’abandonner les codes SMs pour la vérification en deux étapes dans Gmail. La société technologique mise sur les codes QR comme alternative plus sécurisée face à l’augmentation des attaques de phishing et d’usurpation d’identité.
Google remplace les SMs pour la vérification dans Gmail par un nouveau système reposant sur des codes QR. La société de Mountain View utilise depuis plusieurs années les messages texte comme second facteur d’authentification afin de renforcer la sécurité des comptes, mais jugent à présent que cette méthode est devenue vulnérable, et prépare une alternative plus solide.
Comme le rapporte Android Authority, le porte-parole de Gmail, Ross Richendrfer, a confirmé ce changement avec la déclaration suivante : « De la même manière que nous souhaitons dépasser les mots de passe avec des passkeys, nous voulons cesser d’envoyer des messages SMs pour l’authentification. » Cette décision répond à une augmentation notable des cas de phishing où les malfaiteurs parviennent à capturer ces codes.
Gmail abandonne les codes SMs : que signifie le passage aux codes QR et pourquoi cela impacte votre sécurité
Le système actuel de vérification par SMs présente plusieurs failles. Les codes peuvent être interceptés par des cybercriminels par des techniques d’ingénierie sociale ou des attaques de SIM swapping. De plus, cette méthode dépend de la sécurité de votre opérateur mobile et devient inaccessible si vous n’avez pas sous la main l’appareil où vous recevez les messages texte.
La nouvelle proposition de Google va éliminer la nécessité d’introduire un numéro de téléphone et de recevoir un code numérique. À la place, les utilisateurs verront un code QR à scanner avec leur mobile. Cette transition complique les attaques de phishing, car il n’y a plus de code que les escrocs peuvent essayer d’obtenir par des ruses, et réduit la dépendance à des tiers dans le processus.
Google a déjà manifesté son intérêt pour améliorer cette technologie lorsqu’il a mis à jour Google Authenticator avec de nouvelles fonctions pour le scan de codes QR, incluant un flash intégré et une interface repensée. Bien qu’il ne soit pas confirmé s’ils utiliseront cette application spécifique pour le nouveau système, le développement s’oriente clairement dans cette direction.
Les codes QR ne sont pas exempts de risques, comme le montrent les récentes attaques ciblant les utilisateurs de Signal avec des codes QR malveillants distribués par des hackers russes. Google devra veiller à mettre en place suffisamment de couches de protection pour éviter que son système ne devienne la cible de vulnérabilités similaires.
Ces derniers mois, Google a intégré les codes QR dans davantage de produits, comme en témoigne la fonction de scan automatique dans Circle to Search. Cette tendance atteint désormais ses systèmes de sécurité, suggérant un engagement ferme envers cette technologie dans le cadre de son écosystème de vérification.
Une donnée pertinente est que Google Authenticator a dépassé les 100 millions de téléchargements sur le Play Store, ce qui indique une large adoption de méthodes alternatives aux SMs. Cette base d’utilisateurs pourrait faciliter la transition vers le système basé sur les codes QR pour Gmail qui est maintenant annoncée.
Google n’a pas précisé quand débutera la mise en œuvre de ce changement, se contentant d’indiquer que cela se produira « dans les mois à venir ». D’ici là, des concurrents comme Apple et Microsoft maintiendront probablement des systèmes mixtes permettant de choisir entre plusieurs méthodes de vérification. Nous verrons si Google conservera des options pour ceux qui ne peuvent pas utiliser les codes QR.