Gestion des mots de passe en ligne
Face à la sécurité en ligne, de nombreux utilisateurs se sentent dépassés. Mark Risher et Stephan Micklitz, de Google, discutent de la prise en compte de ces émotions dans le développement des mesures de sécurité.
Mark Risher, vous êtes directeur de la gestion de produits chez Google, et vous travaillez dans le domaine de la sécurité sur Internet. Avez-vous déjà été vous-même victime d'une arnaque en ligne ?
Mark Risher : Je n'ai pas d'exemple précis en tête, mais je suppose que oui. Comme tout le monde, je fais des erreurs lorsque je surfe sur Internet. Par exemple, j'ai récemment saisi mon mot de passe Google sur le mauvais site. Heureusement, j'avais installé le plug-in Chrome Alerte mot de passe, qui m'a signalé mon erreur. J'ai tout de suite changé mon mot de passe, bien sûr.
Stephan Micklitz, directeur de l'ingénierie au sein de l'équipe Confidentialité et sécurité de Google : C'est humain. Lorsqu'on a mémorisé un mot de passe, il est facile de le saisir sans faire vraiment attention au site où on se trouve.
Mark Risher : Nous préférerions pouvoir nous passer complètement des mots de passe, mais ce n'est hélas pas si facile.
"De nombreuses mesures de sécurité sont déjà en place en coulisses."
Mark Risher
Quel est le problème des mots de passe ?
Mark Risher : Ils présentent de nombreux inconvénients : ils peuvent être dérobés facilement, mais sont difficiles à retenir, et leur gestion peut être fastidieuse. De nombreux utilisateurs considèrent qu'un mot de passe doit être aussi long et compliqué que possible, alors que cela accroît en fait le risque de sécurité. Lorsqu'un mot de passe est compliqué, les utilisateurs ont tendance à s'en servir pour plusieurs comptes, ce qui le rend encore plus vulnérables.
Stephan Micklitz : Moins vous saisissez votre mot de passe, mieux c'est. C'est pourquoi vous ne devez pas vous connecter à vos comptes et vous en déconnecter à plusieurs reprises. Au fil du temps, cela peut inciter les utilisateurs à ne pas faire attention à la page Web sur laquelle ils se trouvent, ce qui facilite la tâche des pirates informatiques qui cherchent à dérober un mot de passe. Nous conseillons donc à nos utilisateurs de rester connectés.
Le site Web de ma banque me déconnecte automatiquement au bout de plusieurs minutes d'inactivité.
Stephan Micklitz : Malheureusement, de nombreuses entreprises suivent des règles obsolètes. Il était conseillé de se déconnecter systématiquement à l'époque où la plupart des gens se connectaient à Internet depuis des cybercafés ou partageaient un ordinateur avec d'autres personnes. Nos recherches montrent que plus un utilisateur saisit ses mots de passe fréquemment, plus il risque d'être victime d'une cyberattaque. Il est donc plus sûr d'activer simplement le verrouillage de l'écran sur votre téléphone mobile ou votre ordinateur et d'utiliser un mot de passe sécurisé.
Mark Risher : Tout à fait. Malheureusement, de nombreux conseils faux ou impossibles à suivre circulent actuellement, ce qui peut être déroutant pour beaucoup d'utilisateurs. Dans le pire des cas, les gens peuvent se sentir si désemparés qu'ils baissent tout simplement les bras : "Si c'est si difficile de me protéger, autant renoncer." C'est un peu comme laisser votre porte d'entrée ouverte parce que vous savez qu'il y a des cambrioleurs dans les parages.
Mark Risher est directeur de la gestion des produits pour la sécurité et la confidentialité chez Google. En 2010, il a créé Impermium, une start-up dédiée à la sécurité, acquise par Google en 2014. Depuis, Mark Risher travaille au siège de l'entreprise, à Mountain View (Californie). À droite : une clé de sécurité utilisée dans le Programme Protection Avancée. Elle est disponible à un prix minime et peut servir sur de nombreux sites Web.
Comment Google pourrait-il garantir la sécurité des utilisateurs si les mots de passe n'étaient plus utilisés ?
Mark Risher : De nombreuses autres mesures de sécurité sont déjà en place en coulisses. Même si un pirate informatique dérobait votre mot de passe et votre numéro de téléphone, nous pourrions toujours garantir une sécurité à 99,9 % pour votre compte Google. Par exemple, nous vérifions depuis quel appareil ou pays un individu se connecte. Si quelqu'un essaie de se connecter à votre compte plusieurs fois de suite avec le mauvais mot de passe, cela déclenche des alarmes dans nos systèmes de sécurité.
Stephan Micklitz : Nous avons aussi développé le Checkup Sécurité, qui permet aux utilisateurs de vérifier leurs paramètres de sécurité personnels dans leur compte Google, étape par étape. Et avec le Programme Protection Avancée, nous allons encore plus loin.
Quelle est l'idée derrière ce programme ?
Stephan Micklitz : À l'origine, le programme a été développé pour les politiciens, les PDG, les journalistes et d'autres personnes susceptibles d'intéresser les pirates informatiques. Mais il est à présent disponible pour toute personne souhaitant une protection supplémentaire en ligne. Seuls les individus disposant d'une clé USB ou Bluetooth spéciale peuvent accéder à leur compte Google protégé.
Mark Risher : L'expérience nous a montré à quel point ce système était efficace. En effet, tous les employés de Google utilisent une clé de sécurité pour protéger leur compte professionnel. Depuis l'introduction de cette mesure de sécurité, nous n'avons pas eu un seul cas d'hameçonnage après la confirmation d'un mot de passe. Le jeton améliore considérablement la sécurité du compte Google, car même en connaissant le mot de passe, les pirates informatiques ne peuvent pas accéder au compte sans ce jeton. De manière générale, un compte en ligne peut être piraté depuis n'importe où dans le monde ; ce qui n'est pas possible pour les comptes protégés par un jeton de sécurité physique.
Stephan Micklitz : D'ailleurs, ces jetons de sécurité peuvent être utilisés pour de nombreux sites Web, pas seulement pour le Programme Protection Avancée de Google. Vous pouvez l'acheter auprès de nous ou d'autres fournisseurs à un prix minime. Vous trouverez tous les détails sur la page g.co/advancedprotection.
"Les gens ont parfois du mal à évaluer les risques sur Internet."
Stephan Micklitz
À votre avis, quels sont les plus grands dangers sur Internet aujourd'hui ?
Mark Risher : L'un des problèmes, ce sont les nombreuses listes de noms d'utilisateur et de mots de passe qui existent en ligne. Notre collègue Tadek Pietraszek et son équipe ont passé six semaines à fouiller sur Internet, et ils ont trouvé 3,5 milliards de combinaisons de noms d'utilisateur et de mots de passe. Ce ne sont pas des données issues de comptes Google piratés. Ces données ont été volées auprès d'autres fournisseurs. Toutefois, comme de nombreux utilisateurs se servent du même mot de passe pour plusieurs comptes, ces listes nous posent également problème.
Stephan Micklitz : Pour moi, le harponnage est un problème majeur. Le harponnage désigne l'élaboration par un pirate informatique d'un message personnalisé de manière si ingénieuse qu'il est difficile pour la victime d'en reconnaître l'intention frauduleuse. Nous voyons de plus en plus de pirates informatiques utiliser cette méthode, avec succès.
Mark Risher : Je suis d'accord avec Stephan. De plus, le harponnage n'est pas aussi chronophage qu'il n'y paraît. Il ne faut souvent que quelques minutes pour personnaliser un message de spam. Les pirates informatiques peuvent utiliser les informations que les utilisateurs publient sur eux-mêmes en ligne. C'est un problème qui touche les cryptomonnaies, par exemple. Les personnes qui déclarent publiquement détenir 10 000 bitcoins ne devraient pas s'étonner que ce renseignement attire l'attention de cybercriminels.
Stephan Micklitz : C'est comme si j'allais au marché et que j'annonçais le solde de mon compte bancaire avec un mégaphone au beau milieu de la foule. Qui ferait ça ? Personne. Mais les gens ont parfois du mal à évaluer les risques sur Internet.
Le spam est-il toujours un problème ?
Mark Risher : L'utilisation combinée de différents appareils et services est un défi de taille pour nous. Les gens n'utilisent pas seulement des ordinateurs portables et des smartphones pour accéder à Internet. Ils se servent aussi de téléviseurs, de montres connectées et d'enceintes intelligentes. De nombreuses applications s'exécutent sur tous ces appareils, ce qui offre aux pirates informatiques une grande variété de points d'attaque potentiels. Comme de nombreux appareils sont à présent connectés, ces individus malveillants peuvent même en utiliser un pour essayer d'accéder aux informations stockées sur un autre. La question qui se pose à présent est donc la suivante : comment continuer à protéger nos utilisateurs malgré les innombrables nouvelles habitudes d'utilisation ?
Stephan Micklitz : Pour commencer, nous devons nous demander de quelles données nous avons vraiment besoin pour chaque service, et quelles données sont échangées entre les services.
Stephan Micklitz
est directeur de l'ingénierie au sein de l'équipe Confidentialité et sécurité de Google. Il a étudié l'informatique à l'Université technique de Munich et travaille au bureau Google de cette même ville depuis fin 2007. Stephan Micklitz est membre du conseil de l'initiative allemande sur la sécurité en ligne "Deutschland sicher im Netz" (DsiN).
Comment utilisez-vous l'intelligence artificielle pour protéger les utilisateurs ?
Stephan Micklitz : Google utilise l'intelligence artificielle depuis un certain temps déjà.
Mark Risher : La technologie est intégrée depuis le début à notre service de messagerie, Gmail. Google a même développé sa propre bibliothèque de machine learning, appelée TensorFlow, qui facilite le travail des programmeurs dans ce secteur. TensorFlow est particulièrement utile à Gmail, car cette plate-forme Open Source fournit un service précieux pour reconnaître les formes typiques.
Pouvez-vous expliquer comment fonctionne cette reconnaissance de formes ?
Mark Risher : Supposons que l'on détecte une activité suspecte parmi des utilisateurs que nous ne pouvons pas catégoriser. Une machine qui apprend automatiquement peut comparer ces événements et, dans le meilleur des cas, détecter de nouvelles formes de fraude avant même qu'elles ne commencent à se répandre en ligne.
Stephan Micklitz : Mais il y a des limites. L'intelligence d'une machine est limitée par l'intelligence de son utilisateur. Si je fournis à la machine des données fausses ou biaisées, les formes qu'elle reconnaît seront également fausses ou biaisées. Malgré tout l'intérêt que suscite l'intelligence artificielle, son efficacité dépend toujours de la personne qui l'utilise. C'est à l'utilisateur d'entraîner la machine avec des données de grande qualité et de vérifier ensuite les résultats.
Mark Risher : Un jour, alors que je travaillais pour un autre fournisseur de messagerie, j'ai reçu un e-mail d'un employé de banque à Lagos. À l'époque, de nombreux e-mails frauduleux provenant soi-disant du Nigéria circulaient. L'homme se plaignait que ses messages atterrissaient toujours dans le dossier de spam du destinataire, alors même qu'il travaillait pour une banque réputée. C'est un cas classique de fausse généralisation de la reconnaissance de formes dû à un manque d'informations. Nous avons modifié l'algorithme, et le problème a été résolu.
Photographies : Conny Mirbach
Cybersécurité
Découvrez comment nous protégeons plus d'utilisateurs en ligne que n'importe quelle autre entreprise au monde.
En savoir plus