L’inscription à Gmail change : il faut désormais scanner un QR code et envoyer un SMS

 (discuss.privacyguides.net)
3 points par GN⁺ 2 시간 전 | 1 commentaires | Partager sur WhatsApp
  • La procédure d’inscription à un compte Google a changé : au lieu de la vérification classique par réception de SMS, elle passe désormais à un système où l’utilisateur envoie directement un SMS depuis son téléphone
  • En scannant un QR code sur son smartphone, un SMS est automatiquement envoyé à Google afin d’effectuer la vérification du numéro de téléphone
  • Ce changement bloque la création de comptes via des services de réception de numéros temporaires comme SMSpool
  • Cela aide à limiter le phishing, mais rend aussi la création de comptes anonymes plus difficile pour les utilisateurs soucieux de leur vie privée
  • Avec l’enregistrement nominatif des cartes SIM selon les pays et la réattribution des numéros, la question prend de l’ampleur : Google pourrait-il suivre une identité à partir de l’historique d’un numéro ou demander une nouvelle vérification ?

Nouvelle méthode d’inscription

  • L’ancienne inscription via QR code ne fonctionne plus de la même manière : lorsqu’on scanne le QR code sur un smartphone, un SMS est envoyé à Google depuis le téléphone de l’utilisateur, ce qui valide le numéro
  • Cette méthode a été introduite pour des raisons de sécurité et a pour effet de rendre le phishing plus difficile
  • En revanche, la vérification via des services dédiés uniquement à la réception de SMS comme SMSpool n’est plus possible

Inquiétudes liées à la vie privée

  • Les utilisateurs ordinaires n’emploient généralement pas de services de vérification par SMS ; les personnes surtout touchées par ce changement sont principalement celles qui accordent une grande importance à leur vie privée
  • L’achat de comptes d’occasion comporte des risques propres, car il est impossible de connaître le lien avec leur ancien propriétaire
  • Certains estiment aussi que Google devient de plus en plus fermé et qu’il faudra trouver des solutions de contournement

Application régionale de la vérification par QR code

  • Des questions sont soulevées quant au fait de savoir si la vérification par QR code s’applique de la même manière dans tous les pays
  • Dans certains pays (par exemple l’Italie), l’achat d’une carte SIM exige l’enregistrement d’une pièce d’identité ; si un compte est créé avec ce numéro puis que celui-ci est réattribué, il reste difficile de savoir si un suivi est possible
  • Google conserve l’historique de tous les numéros de téléphone enregistrés par l’utilisateur, mais n’autorise pas la vérification avec un numéro qui ne lui appartient plus

Objections du point de vue de la sécurité

  • Le fait d’envoyer un SMS depuis le téléphone de l’utilisateur soulève des inquiétudes sur la possibilité de spoofing de numéro, notamment pour un usage en MFA
  • Certains estiment aussi que de nouveaux services de contournement proposant l’envoi de SMS finiront par apparaître

À lire aussi

1 commentaires

 
GN⁺ 2 시간 전
Avis de Hacker News

  • Il y a beaucoup de reproches à faire à Gmail, mais on peut aussi comprendre dans une certaine mesure la situation de Google
    L’entreprise s’est retrouvée de fait à maintenir gratuitement une grande partie de l’infrastructure d’Internet, avec une base d’utilisateurs si énorme que l’arrêter provoquerait un chaos mondial
    Les coûts de maintenance sont élevés, c’est complexe et chronophage, et c’est à la fois une source et une destination de spam et d’arnaques. Il y a aussi le poids énorme de devoir conserver les données pratiquement pour toujours
    Malgré tout, je pense que l’idée même d’un e-mail gratuit est fondamentalement mauvaise. Il est difficile d’espérer qu’un service d’e-mail gratuit soit bon ou bien pris en charge, et s’il en reste encore, c’est peut-être davantage par peur du retour de bâton que par pure bonne volonté. Mieux vaut simplement utiliser un service d’e-mail payant, c’est plus rassurant

    • Parler de « gratuité subie » n’est pas juste. Google a choisi de l’offrir gratuitement, et à l’époque l’espace de stockage gratuit était absurdement grand
      À ce moment-là, avoir 25 ou 50 Mo dans une boîte mail fournie par son FAI était déjà pas mal, mais Google proposait 1 à 2 Go pour attirer les gens
      Google a bien sûr le droit de prendre des mesures contre les abus et n’a aucune obligation de continuer à l’offrir gratuitement, mais ce n’est pas comme si l’entreprise avait été forcée de porter l’e-mail gratuit sur ses épaules, ni comme si ces avantages largement supérieurs à ceux des concurrents n’avaient pas été son propre choix
    • Je ne sais pas ce que « gratuit » veut dire ici. Google récupère toutes les données qu’il peut tirer des utilisateurs, et peut désormais vous suivre même quand vous n’utilisez pas votre téléphone
      Il contrôle aussi la façon dont Internet fonctionne. Il peut imposer HTTPS, manipuler les traceurs ou les etags comme bon lui semble
      Il peut vendre toutes les informations sur les utilisateurs à bon prix, et si les conditions d’utilisation lui permettent de les découper et de les revendre, les utilisateurs auront du mal à protester. En apparence c’est peut-être gratuit, mais beaucoup de gens paient une prime à Google de multiples façons
      Autrefois, Google était respecté parce qu’on pensait qu’il rendait le monde meilleur grâce à l’innovation et aux bonnes idées. Il continue peut-être à changer le monde, mais plus forcément dans l’intérêt de tout le monde
    • C’est totalement faux. Google abandonne régulièrement des produits et des services sans le moindre scrupule
      Si Gmail coûtait plus cher que les données qu’il extrait et revend directement ou indirectement à partir des utilisateurs, Gmail n’existerait pas
    • Gmail n’est pas gratuit aujourd’hui, et ne l’a jamais été. Tout le monde paie
      Pour contacter des clients, les entreprises doivent payer pour figurer sur des listes d’autorisation destinées à l’envoi en masse, et ce coût est répercuté même sur des clients qui n’ont jamais utilisé Gmail
      Si une entreprise ne paie pas pour ces listes tout en ayant beaucoup de clients sur Gmail, elle doit limiter prudemment son débit d’envoi, ce qui peut faire que les e-mails n’arrivent pas dans la journée
      Les sociétés d’e-mail marketing et de campagnes paient aussi pour figurer sur ces listes, puis répercutent ces coûts sur leurs propres clients. Il n’a jamais existé de fournisseur de messagerie qui accepte gratuitement des e-mails en masse à destination de millions de personnes
    • L’écosystème Google a dégagé plus de 130 milliards de dollars de bénéfices l’an dernier, donc il n’y a vraiment pas lieu de le plaindre

  • S’il y a quelqu’un de Gmail dans les parages, j’aimerais qu’on m’explique pourquoi Gmail autorise des e-mails de phishing qui abusent des propres services de Google, par exemple des choses comme https://storage.googleapis.com/savelinge/
    Il y a plus de détails ici : https://news.ycombinator.com/item?id=46665414

    • Ces derniers temps, le spam devient vraiment grave. Certains contournent les filtres en s’appuyant sur des sites légitimes, par exemple en envoyant des factures via de vrais services de génération de factures
      Il y a aussi des messages qui se font passer pour des services de suivi de livraison d’objets commandés, simulent sur plusieurs jours la perte d’un colis, puis attirent la victime vers un site de phishing en lui proposant un code promo du montant de son « achat »
      Gmail ne se contente pas de ne pas classer ces messages comme spam, il les classe en messages importants et leur donne même les notifications prioritaires et les résumés
    • On dirait que, tant que ses propres services sont impliqués, Google considère que tout va bien. *.bc.googleusercontent.com sert pratiquement de ferme à spam depuis des années, au point que je l’ai complètement bloqué
      Mais Google semble totalement indifférent, comme s’il refusait le moindre désagrément, même minime, pour les utilisateurs de Compute Engine
    • C’est pour la même raison que le filtrage du spam est difficile. Si on essaie d’empêcher tous les abus d’un service, il y aura beaucoup trop de faux positifs, donc c’est impossible
    • Je n’ai pas de réponse, mais au moins cela donne une hypothèse pour expliquer pourquoi les spams évidents et stupides « Costco » venant d’adresses @gmail.com continuent d’arriver dans la boîte de réception même après avoir été marqués comme spam
    • Google semble incapable d’empêcher AppSheet, qu’il a racheté, d’être utilisé par des hameçonneurs pour envoyer des e-mails assez crédibles et ciblés. Et ces messages arrivent jusque dans la boîte de réception principale
      Si les signalements sont ignorés, il ne reste plus qu’à transmettre ces faux e-mails de recrutement aux équipes juridique, fraude ou phishing de la marque usurpée. Si l’entreprise n’a pas l’air de s’y intéresser, un courrier officiel émanant d’un cabinet d’avocats peut peut-être aider à faire remonter la priorité

  • À propos de l’affirmation selon laquelle « si l’on utilise un smartphone pour un QR code, un SMS est envoyé du téléphone à Google pour vérifier le numéro », je me demande s’il existe une meilleure source que des commentaires de forum laissant entendre qu’un simple scan de QR code envoie un message automatiquement
    Après vérification, ce n’est qu’un URI SMS. Cela n’envoie rien automatiquement ; cela ouvre simplement le message texte que l’utilisateur doit envoyer
    En fin de compte, c’est juste l’ancien système de vérification du numéro de téléphone avec une couche de confort apportée par le QR code

    • Je ne sais pas ce qui se passe si le téléphone ne sait pas faire ça. J’utilise un téléphone à clapet ; il a un appareil photo, mais ne peut pas scanner de QR code
    • Avant, Google envoyait un SMS à l’utilisateur. Maintenant, recevoir des SMS est devenu trivial si l’on paie 30 centimes à une ferme à téléphones, donc Google passe au modèle où c’est l’utilisateur qui envoie. Les fermes à téléphones finiront sans doute par s’adapter elles aussi
    • https://datatracker.ietf.org/doc/html/rfc5724#section-2
    • J’imagine qu’il suffit probablement d’ouvrir l’application de SMS sur le téléphone avec le numéro et le texte déjà préremplis. L’utilisateur n’a plus qu’à appuyer sur Envoyer
    • D’habitude, la vérification du numéro de téléphone consiste à ce que Google envoie un SMS à l’utilisateur, non ? Le sens inverse paraît inhabituel

  • Les récentes évolutions de Google ressemblent à la preuve décisive dont un tribunal antitrust avait besoin. C’est du type : « faites ça, sinon… »
    reCAPTCHA, Gmail, Google Suite, Android, Chrome, Colab et Google Play devraient tous être des activités indépendantes, viables sans dépendre de la machine publicitaire de Google
    Gmail devrait devoir rivaliser avec les autres fournisseurs d’e-mail pour gagner des utilisateurs, et reCAPTCHA devrait couvrir tous ses coûts d’infrastructure uniquement avec ses propres revenus. Ce serait un bon moyen de rééquilibrer la concurrence, de calmer les critiques et de desserrer l’étau

    • Google a affirmé que l’IA représentait une menace énorme pour son empire de la recherche et de la publicité. Pourtant, quelques semaines après qu’un juge a prononcé des mesures étonnamment faibles face aux abus monopolistiques de Google, l’entreprise a conclu un partenariat avec Apple pour que presque 100 % des agents IA par défaut sur smartphone reposent sur Google
    • Si Google est vraiment si monopolistique dans l’e-mail, pourquoi ne pas simplement utiliser n’importe quel autre service de messagerie gratuit ou payant en ligne

  • J’ai récemment aidé une petite entreprise à configurer un compte Google Workspace, et nous nous sommes heurtés à un mur pendant l’inscription
    J’ai dit aux propriétaires que si Google était déjà aussi pénible dès l’étape d’inscription, il fallait imaginer ce qui se passerait plus tard si le compte était verrouillé alors que l’activité des clients en dépendait. Je leur ai montré quelques histoires d’horreur sur les blocages de comptes Google, et ils ont finalement choisi une autre solution de collaboration professionnelle

    • Si l’on essaie de passer de Business Standard à Business Plus, Google réduit pendant la mise à niveau le stockage Workspace de 2 To par utilisateur à 0 octet pendant jusqu’à 24 heures
      La réponse réelle du support a été : « Après vérification, nous constatons que le stockage s’affiche à 0 octet suite au passage de Business Standard à Business Plus. Vous n’avez pas à vous inquiéter, c’est tout à fait normal »
      Ils ont aussi expliqué que « lorsque l’abonnement est mis à niveau, le système backend doit d’abord détacher l’allocation de stockage Business Standard existante avant de provisionner la nouvelle limite Business Plus, et pendant cette transition, le quota revient temporairement à 0 par défaut »
      Enfin, ils ont demandé d’activer puis de désactiver cinq minutes plus tard la limite de stockage utilisateur ou la limite de stockage des lecteurs partagés, mais cette tentative d’accélérer la réinitialisation du quota a échoué, et cela a finalement pris plusieurs heures
    • Du coup, j’ai lancé un plan pour migrer tous les domaines que je gère hors de Gmail. En tant que produit, Gmail ne s’améliore pas vraiment ; il devient de plus en plus pénible à force d’essayer de faire de la vente incitative pour des choses dont on ne veut ni n’a besoin
      Chaque année c’est un peu pire. Gmail est devenu trop gros : même en payant, les chances d’obtenir un support sont presque nulles, et ce risque est trop important pour être acceptable
    • Je me demande ce que veut dire exactement « nous nous sommes heurtés à un mur pendant l’inscription ». Est-ce qu’il s’agit du problème d’envoi de SMS après scan de QR code mentionné dans cet article, ou d’autre chose
    • Je l’utilise avec pas mal de satisfaction depuis 2013
      Cela dit, depuis environ un an, j’entends des employés se plaindre des pop-ups liés à l’IA qu’ils n’ont ni envie ni besoin d’utiliser
    • Je serais curieux de savoir ce que vous utilisez à la place. L’herbe a toujours l’air plus verte ailleurs
      Cela dit, il ne serait pas étonnant que Microsoft ait un meilleur support, même si les produits sont pires

  • Je viens de tester moi-même le parcours d’inscription, et je n’ai pas eu besoin de QR code. C’était exactement la même procédure que depuis des années
    Choix personnel/enfant/entreprise, saisie du nom, choix de l’e-mail, date de naissance, e-mail de récupération ou ignorer, mot de passe, saisie du numéro de téléphone, vérification du code d’authentification à deux facteurs, terminé
    J’ai créé le compte testregistrationflow@gmail.com, et comme j’ai déjà oublié le mot de passe, on peut considérer qu’il est grillé. Vous pouvez aussi tester avec testregistrationflow1@gmail.com pour voir si cela fonctionne sans QR code
    Le titre déforme clairement un flux spécifique qui s’applique aux personnes essayant de créer en masse des comptes Gmail de manière programmatique

    • Il est probable que cette exigence se déclenche selon le niveau de confiance que Google accorde à l’utilisateur. Utiliser Linux, Firefox ou un VPN peut faire partie des facteurs pris en compte
    • Si le numéro de téléphone utilisé pour l’authentification à deux facteurs est considéré comme « trop utilisé », on peut se retrouver bloqué en plein milieu de l’inscription
      Il ne semble pas y avoir de limite documentée, et la seule solution que les gens aient trouvée est de demander à quelqu’un d’autre d’aider avec son numéro
      Le plus difficile, c’est quand on a été déconnecté d’un compte existant. Au moment de se reconnecter, Google demande le numéro utilisé pour l’authentification à deux facteurs, et même si l’on entre le même numéro que celui utilisé à l’origine pour vérifier l’inscription, cela échoue au motif que ce numéro a été trop souvent utilisé
      On ne peut alors plus se connecter à un compte légitime déjà existant. Bien sûr, il aurait fallu ajouter une autre méthode d’authentification à deux facteurs ou une passkey, mais il reste difficile de comprendre pourquoi il est impossible de se réauthentifier avec le numéro utilisé au départ
      En plus, on ne peut pas non plus utiliser un numéro Google Voice pour l’authentification à deux facteurs de vérification de compte lors de l’inscription à d’autres services Google
    • Il vaudrait peut-être mieux revenir au système sur invitation des débuts de Gmail
      Limiter chaque compte à un petit nombre fini d’invitations pour créer de nouveaux comptes pourrait être une façon de freiner les escrocs
    • Si l’on crée un compte via les services Google sur un téléphone, il n’y a même pas besoin de numéro de téléphone
    • Aujourd’hui, j’ai rencontré à la fois le captcha QR de Google et le captcha traditionnel. Le déploiement est en cours par étapes

  • Dire qu’« il faut scanner un QR code » revient un peu à dire que, pour ouvrir la porte d’un train, il faut scanner un QR code, tout en omettant le fait que la véritable exigence est de lier le téléphone aux informations de paiement pour la facturation
    Ce que Google vérifie ici, ce n’est pas la capacité à transformer une matrice de données en octets

  • Ce genre de changement ressemble à une mesure de « sécurité », mais paraît aussi très pratique pour éliminer de nombreux flux de travail respectueux de la vie privée

    • Je pense que c’est exactement ça. La surveillance totale ne fonctionne que si les gens sont forcés de porter un collier de traçage
      L’étape suivante pourrait être de relier cela à une monnaie numérique de banque centrale nécessitant un numéro de téléphone pour accéder au portefeuille, puis de l’associer à une carte d’identité réelle ou à un passeport pour restreindre les déplacements
      L’authentification à deux facteurs est devenue le coin qui fait voler la vie privée en éclats
    • Il existe des services en ligne qui proposent des numéros temporaires pour activer des comptes afin de contourner les exigences de Google, mais la plupart ne permettent que de recevoir des messages
      Exiger que l’utilisateur envoie lui-même un SMS semble être un excellent moyen d’éliminer ces services et d’empêcher les bots de les utiliser
      Je ne sais pas très bien ce qu’un flux de préservation de la vie privée peut signifier pour un compte Google. Google peut vous suivre même sans connaître votre numéro de téléphone