L'événement clé est le lancement et l'engagement de distribution de Google en novembre 2023. La société a déclaré que les dernières clés de sécurité Titan prendraient en charge le NFC, remplaceraient les précédents modèles USB-A et USB-C, stockeraient plus de 250 clés d'accès et seraient distribuées gratuitement aux utilisateurs à haut risque par l'intermédiaire de partenaires en 2024. Google a également lié cet effort à l'Advanced Protection Program, son programme de sécurité des comptes destiné aux personnes à haute visibilité ou détenant des informations sensibles.
Surface de contrôle de la sécurité des comptes
La surface de contrôle n'est pas la clé en tant qu'accessoire de vente au détail. C'est la chaîne allant de l'inscription au compte Google, la politique de l'Advanced Protection Program, l'authentification FIDO/clé d'accès, la possession du matériel et la distribution dirigée par les partenaires. Les clés de sécurité réduisent le risque de phishing en exigeant une preuve cryptographique que l'utilisateur interagit avec le service légitime et qu'il a le matériel enregistré en main.
Les nouveaux modèles Titan ajoutent une couche de stockage des clés d'accès, de sorte que le même matériel peut devenir à la fois un second facteur et un détenteur de justificatif d'identité portable sans mot de passe.
Mécanisme de dépendance et d'abus
Pour les utilisateurs à haut risque, le piratage de compte n'est pas un inconvénient privé. Les travailleurs de campagne, les journalistes, les militants, le personnel électoral et les groupes de la société civile dépendent des e-mails, des fichiers cloud, des comptes sociaux et des outils de collaboration comme infrastructure opérationnelle. Si ces comptes sont hameçonnés, les attaquants peuvent usurper l'identité de personnes de confiance, réinitialiser les services en aval, exposer des sources ou du matériel de campagne et perturber le travail civique.
L'authentification matérielle augmente le coût pour l'attaquant, mais elle crée également des dépendances opérationnelles autour de l'inscription, des clés de secours, de la récupération, de la logistique des partenaires et de la formation des utilisateurs.
Limites des preuves
Les preuves publiques confirment la date de lancement, les fonctionnalités clés, le contexte de sécurité FIDO/clé d'accès, l'adéquation de l'Advanced Protection Program, le canal de partenaires nommés et l'engagement de 100 000 clés en 2024. Elles ne prouvent pas les chiffres de livraison finaux pour l'engagement de 2024, la répartition par partenaire, les résultats de protection, les taux d'adoption, la rétention des utilisateurs ou si chaque bénéficiaire a utilisé correctement les clés après la distribution.
Points de vigilance
- Si Google communique sur l'achèvement, la géographie et la composition des bénéficiaires pour l'engagement de 100 000 clés en 2024.
- Si l'inscription à l'Advanced Protection Program augmente parmi les utilisateurs électoraux, médiatiques et de la société civile après la distribution par les partenaires.
- Si les clés d'accès matérielles restent la valeur par défaut pour les utilisateurs à haut risque alors que les clés d'accès synchronisées deviennent plus courantes pour les comptes grand public.
- Comment Google gère les flux de clés de secours, de récupération de compte et de perte d'appareil sans affaiblir la résistance au phishing.
- Si les attaques se déplacent du phishing des identifiants vers le vol de session, l'abus OAuth, l'ingénierie sociale des services d'assistance ou la compromission des points de terminaison.

