Les attaques ne se contentent plus de chercher un mot de passe : elles s’en prennent directement au smartphone et aux mécanismes qui le protègent. Le « Pixnapping » repéré par des chercheurs américains peut ainsi subtiliser un code de double authentification en une trentaine de secondes, sans que la victime ne s’en rende compte.
Connexion sans mot de passe
C’est un scénario catastrophe quand on sait que les attaques visant les services Google ont augmenté de 84 % en un an. Phishing sophistiqué, deepfakes vocaux et campagnes de messages automatisés — des outils de plus en plus utilisés par les pirates — rendent les protections traditionnelles moins efficaces. Face à ce constat, Google reconnaît les limites des méthodes de secours classiques, comme les SMS de récupération ou les adresses e-mail secondaires. Notamment « si vous avez perdu votre téléphone ou n’avez pas mis à jour votre numéro de secours », admettent Claire Forszt et Sriram Karra, de l’équipe Identity and Engagement du moteur de recherche. Le message est de préparer le terrain avant la panne.
Parmi les nouvelles options, les contacts de restauration permettent de désigner jusqu’à dix personnes de confiance (famille, amis proches) capables d’aider à vérifier votre identité et à débloquer l’accès à un compte Gmail compromis. Google présente cette option comme « un moyen simple et sûr de se tourner vers des personnes de confiance quand les autres solutions de récupération ne sont pas disponibles ». Important : il faut configurer ces contacts avant de perdre l’accès à son compte.
Autre nouveauté pensée pour réduire la dépendance aux mots de passe : « Se connecter avec le numéro de téléphone ». Sur Android, saisir son numéro fera apparaître les comptes associés ; après validation par le code de verrouillage de l’écran, l’utilisateur retrouve l’accès sans mot de passe. Eugene Liderman, directeur de la sécurité et de la confidentialité Android, indique que le déploiement est progressif « dans le monde entier ». L’idée est de remplacer une étape fragile (le mot de passe) par une vérification attachée au téléphone, à condition que l’appareil soit encore sous votre contrôle.
Google renforce aussi Messages, une app qui fait office de vecteur fréquent de liens malveillants : la messagerie avertira et bloquera l’accès aux liens suspects jusqu’à confirmation explicite. Key Verifier, l’outil de vérification par QR code, ajoute une couche pour s’assurer que les conversations chiffrées sont bien avec la bonne personne.
Enfin, le géant du web mise sur l’éducation : le jeu interactif « Be Scam Ready » entraîne les utilisateurs à reconnaître les arnaques, tandis que des partenariats (AARP, National Cybersecurity Alliance) visent à protéger les populations vulnérables, notamment les seniors. Google organise également des ateliers pendant le Cybersecurity Awareness Month.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
