Cette nouvelle fonctionnalité de protection de compte de Google est conçue pour empêcher les hacks de se propager « Tous vos œufs sont dans le panier de votre fournisseur de messagerie. » Carsten Koall / Getty Images Google a annoncé une nouvelle fonctionnalité permettant aux développeurs utilisant Google Sign-In de partager automatiquement des informations sur les problèmes de sécurité, tels que les hacks de compte, afin de rendre plus difficile la propagation des incidents entre les services. Un nouveau protocole de protection multi-comptes (CAP) est conçu pour envoyer et recevoir des signaux de sécurité sur les comptes d’utilisateurs, de sorte qu’une violation sur un service est moins susceptible de permettre à un attaquant de se connecter en chaîne dans le compte de cette personne sur un autre. Il est relativement courant que les pirates infiltrent un compte et l’utilisent pour se frayer un chemin dans une autre cible. (Par exemple, il y a plusieurs années, lorsque des pirates ont voulu prendre mon compte Twitter, ils l’ont fait en ayant d’abord accès à mon compte Amazon, qu’ils ont utilisé pour accéder à mes e-mails, déclenchant une série d’attaques.) Cela crée des comptes de messagerie et de téléphone portable plus susceptibles de devenir des points de défaillance centraux, car ils sont souvent utilisés comme connexions. Ou en tant que chef de produit senior de Google pour les outils d’identité des développeurs, Adam Dawes, a déclaré: «œ tous vos œufs sont dans le panier de votre fournisseur de messagerie». Actuellement, lorsqu’un fournisseur d’identité, comme un service de messagerie électronique ou de cellule, détecte un problème, il ne peut pas faire grand-chose pour alerter tous les autres services que quelqu’un a pu utiliser ce fournisseur comme connexion. Par exemple, supposons que vous vous connectiez à Evernote avec une adresse Gmail. Une personne ayant accédé à votre compte Google pourrait également l’utiliser pour se connecter à Evernote en choisissant d’utiliser la connexion Google. Et même si Google a attrapé et expulsé l’attaquant de son propre service, cette personne pourrait rester connectée à Evernote. La protection multi-comptes vise à remédier à cette vulnérabilité en liant efficacement la sécurité des comptes à l’aide du service d’authentification Google Sign-In. CAP permet à différents services de s’envoyer des notifications de sécurité majeures sur un utilisateur commun », par exemple lorsqu’un compte a été détourné ou désactivé, lorsqu’il a déconnecté un utilisateur de toutes les sessions, lorsqu’il force un changement de mot de passe et lorsqu’il le détecte un compte est en fait un bot. Cela donne ensuite aux développeurs la possibilité d’agir sur le compte affecté. Cela signifie que pour le moment, quelqu’un doit être connecté via Google Sign-In pour que la nouvelle fonctionnalité fonctionne », une adresse Gmail seule ne suffit pas. (Cependant, d’autres fournisseurs d’identité pourront également mettre en œuvre le protocole.) « Les gens ont des données stockées dans de nombreux endroits différents, mais il devient de plus en plus difficile pour eux de tout garder sous clé et protégés », a déclaré à BuzzFeed News Mark Risher, directeur de la gestion des produits qui dirige l’équipe d’identité de Google. «œEn fait, ce que nous essayons d’accomplir, c’est de rendre Internet plus sûr.»