Entre la messagerie Gmail, les photos stockées sur Google Photos, d’éventuels documents personnels éparpillés sur Docs, Sheets ou Slide, et l’accès à votre compte YouTube si vous en avez un, votre compte Google est un véritable coffre-fort renfermant des données sensibles. A ce titre, votre compte Google est une vraie mine d’informations pour d’éventuels pirates qui en prendraient le contrôle, alors protégez-le !

Nous connaissons tous dans notre entourage une personne qui s’est faite pirater son compte mail : le pirate a pu obtenir les identifiants de connexion grâce à une fuite de données personnelles, par phising depuis un faux email bancaire ou bien via une vidéo infectée propagée sur Facebook. Il a pu ensuite pénétrer la messagerie de la personne et changer le mot de passe et le n° de téléphone de récupération pour lui bloquer l’accès à son compte, avant d’envoyer à tout son carnet d’adresse de faux emails d’appel au secours et de demande d’argent.

Dans le pire des cas, si le couple « identifiant/mot de passe » utilisé sur la plateforme piratée est employé également sur plusieurs autres plateformes (comme c’est trop souvent le cas), le pirate peut ensuite sans se aucun problème prendre le contrôle de la page Facebook et envoyer de fausses invitations à tous les contacts, relayer des vidéos infectées sur Messenger, ou encore pénétrer le compte Amazon et passer des commandes en utilisant la carte bancaire enregistrée sur le site.

La liste des possibilités en cas de piratage d’un compte de messagerie est infinie…

Si malheureusement les opérateurs de messageries français (Orange, SFR, Free, Bouygues) ne proposent pas de protection supplémentaire visant à détecter et bloquer des accès inhabituels à votre messagerie, Google propose quant à lui plusieurs options pour protéger votre compte contre les connexions frauduleuses.

L’une des meilleures protections en la matière est la double authentification, ou la «validation en deux étapes». Grâce à elle, même si une personne malintentionnée récupère vos identifiants, elle ne pourra pas accéder à votre précieux compte et vous serez immédiatement prévenu que quelqu’un connait le mot de passe de votre messagerie.

A NOTER :

  • Orange propose une formule boiteuse dénommée « Mobile Connect » : la connexion à la messagerie peut être validée via votre mobile plutôt que par mot de passe, mais laisse tout de même la possibilité de se connecter par mot de passe… Ceci est donc totalement inutile en matière de sécurité, puisqu’un pirate peut tout de même pénétrer votre messagerie en utilisant le mot de passe piraté

 

La validation en deux étapes, qu’est-ce que c’est ?

Lorsque la validation en deux étapes est activée sur votre compte, tout accès inhabituel à votre messagerie depuis un téléphone, une tablette ou un ordinateur déclenchera l’envoi d’un code de validation par SMS vers votre téléphone mobile :

  • Si l’accès inhabituel provient d’un nouveau terminal qui vous appartient, saisissez simplement le code reçu par SMS et votre messagerie se débloquera automatiquement
  • Si en revanche la détection de l’accès inhabituel est déclenchée par un pirate qui a eu connaissance de votre identifiant et votre mot de passe, il restera bloqué à la seconde étape de validation : sans le code reçu par SMS, il lui sera impossible d’accéder à votre messagerie

L’accès à votre messagerie via un téléphone, une tablette ou un ordinateur déjà connu et utilisé par vous-même habituellement ne déclenchera pas l’envoi d’un code de validation par SMS

 

Activer la validation en étape sur votre compte Google

Pour commencer, connectez-vous à votre compte Google, cliquez sur votre profil puis sur le bouton « Gérer votre compte Google ». Vous allez aboutir sur la page de gestion de votre compte. Une autre manière d’y arriver est de directement rentrer « myaccount.google.com » dans la barre de recherche de votre navigateur web.

À gauche de l’écran se trouve un menu : cliquez sur « sécurité ». Ensuite, descendez jusqu’à « Connexion à Google » et sélectionnez « validation en deux étapes ». Vous devrez rentrer les identifiants de votre compte Google pour continuer.

Vous n’avez plus qu’à suivre les étapes proposées par Google : renseignez votre numéro de téléphone, et décidez si vous préférez recevoir le code de la double authentification par SMS ou par appel. La réception par SMS est plus discrète, mais elle ne conviendra pas forcément aux personnes qui n’ont pas un smartphone adapté ou qui ne sont pas habituées à son utilisation. Enfin, cliquez sur « activer » à l’étape suivante, et le tour est joué.

Vous recevrez dans un premier temps un SMS de vérification de votre numéro de téléphone, puis la validation en deux étapes sera activée.

Google propose d’autres méthodes de validation en deux étapes

La double authentification par SMS ou appel n’est pas forcément la plus confortable pour tout le monde. Alors Google propose d’autres options alternatives (vous pouvez utiliser différentes options de connexion) depuis le menu de la validation en deux étapes :

Invites

Ce système requiert de télécharger l’application Gmail sur votre smartphone, puis de vous connecter à votre compte. Une fois que c’est fait, vous n’aurez plus qu’à ajouter le numéro de téléphone depuis le menu de la double authentification, sur votre ordinateur.

À chaque tentative de connexion à votre compte, vous recevrez une notification sur votre app Gmail. Vous pourrez l’accepter afin de valider la connexion, ou la refuser si vous n’êtes pas à l’origine de la tentative de connexion.

Google Authenticator

Téléchargez l’application Google Authenticator depuis le Google Play Store ou l’App Store. Cette app est légère, et ne demande pas de créer de compte. Ensuite, cliquez sur « Configurer Google Authenticator » sur votre ordinateur. Un QR-code va s’afficher : ouvrez l’appareil photo de votre smartphone, et faites la mise au point sur le code. Votre smartphone va vous proposer d’ouvrir l’app, faites-le, puis acceptez de « créer un jeton ».

Google Authenticator va créer de manière aléatoire un code à 6 chiffres utilisable pour la double authentification, qu’il va renouveler toutes les 30 secondes. Pour valider la mise en place de cette méthode de double authentification, vous devrez rentrer un de ces codes à 6 chiffres sur votre ordinateur, et le valider avant qu’il n’expire.

Clé de sécurité

Cette option s’adresse aux personnes les plus exigeantes, et celles qui voudraient se passer de smartphone. Les clés de sécurité — comme Google Titan —  sont des appareils physiques, qu’il faut brancher à l’appareil sur lequel on veut ouvrir le compte Google. C’est une solution particulièrement sûre, puisqu’un malfrat n’a d’autres choix que de la voler s’il veut s’introduire sur votre compte. En revanche, elle peut être plus lourde à l’utilisation que les autres méthodes, puisqu’il faut porter un appareil supplémentaire en plus de votre smartphone. Et puis, c’est un coût supplémentaire, puisqu’il faut acheter la clé.

Et comment faire en cas de perte de son téléphone ?

Pour s’assurer que vous puissiez vous connecter à votre compte même si vous perdez votre téléphone et/ou votre numéro de téléphone, Google propose deux options, accessibles depuis le menu de la validation en deux étapes (à faire par sécurité, en même temps que l’activation de la validation en deux étapes) :

  • Ajouter un second numéro de téléphone pour la double authentification : ce peut être un autre de vos numéros, ou celui d’un proche en qui vous avez entièrement confiance.
  • Télécharger et/ou imprimer des « codes de secours ». Google va générer aléatoirement 10 codes à 8 chiffres, qui vous permettront de passer la double authentification.

Vous ne pourrez utiliser chacun d’entre eux qu’une seule fois. L’idéal est de les imprimer, et de les garder en lieu sûr. Vous pourrez ainsi vous passer d’un smartphone et d’une clé de sécurité pour vous connecter à votre compte.

Source : Cyberguerre – Prenez 5 minutes pour activer la double authentification sur votre compte

 

Protéger son compte Google : comment activer la double authentification en 5 minutes ?