Gérer ses mots de passe en ligne

Mark Risher, vous êtes directeur de la gestion de produits chez Google et vous travaillez dans le domaine de la sécurité sur Internet. Avez-vous déjà été vous-même victime d'une escroquerie en ligne ?

Mark Risher : Je n'ai pas d'exemple précis en tête, mais je suppose que oui. Comme tout le monde, je fais des erreurs lorsque je surfe sur Internet. Par exemple, j'ai récemment saisi mon mot de passe Google sur le mauvais site. Heureusement, j'avais installé le plug-in Chrome Alerte mot de passe, qui m'a signalé mon erreur. J'ai tout de suite modifié mon mot de passe, bien sûr.

Stephan Micklitz, directeur de l'ingénierie au sein de l'équipe Confidentialité et sécurité de Google : L'erreur est humaine. Une fois que l'on a mémorisé un mot de passe, il peut facilement nous arriver de la saisir sans prêter suffisamment attention au site Web sur lequel on se trouve.

Mark Risher : L'idéal serait de se débarrasser des mots de passe, mais malheureusement, ce n'est pas si facile.

"De nombreuses mesures de sécurité sont en place en coulisses."

Mark Risher

Quel est le problème avec les mots de passe ?

Mark Risher : Ils présentent de nombreux inconvénients, car ils peuvent être facilement dérobés, ils sont difficiles à retenir et leur gestion peut être fastidieuse. De nombreux utilisateurs considèrent qu'un mot de passe doit être aussi long et compliqué que possible, alors que cela accroît en fait le risque de sécurité. Lorsqu'un mot de passe est compliqué, on a tendance à s'en servir pour plusieurs comptes, ce qui nous rend encore plus vulnérables.

Stephan Micklitz : Moins vous saisissez votre mot de passe, mieux c'est. Il est déconseillé de se connecter et de se déconnecter sans cesse sur ses différents comptes. Avec le temps, on risque en effet de ne pas faire attention à la page Web sur laquelle on se trouve, ce qui facilite la tâche des pirates informatiques qui cherchent à dérober nos mots de passe. Nous conseillons donc à nos utilisateurs de rester connectés.

Le site Web de ma banque me déconnecte automatiquement au bout de plusieurs minutes d'inactivité.

Stephan Micklitz : Malheureusement, de nombreuses entreprises suivent des règles obsolètes. Il était conseillé de se déconnecter systématiquement à l'époque où la plupart des gens se connectaient à Internet depuis des cybercafés ou partageaient un ordinateur avec d'autres personnes. Nos recherches montrent que plus un utilisateur saisit ses mots de passe fréquemment, plus il risque d'être victime d'une cyberattaque. Il est donc plus sûr d'activer simplement le verrouillage de l'écran sur votre téléphone mobile ou votre ordinateur et d'utiliser un mot de passe sécurisé.

Risher : Tout à fait. Malheureusement, de nombreux conseils faux ou impossibles à suivre circulent actuellement, ce qui peut être déroutant pour beaucoup d'utilisateurs. Dans le pire des cas, les gens peuvent se sentir si désemparés qu'ils baissent tout simplement les bras : "Si tellement difficile de se protéger que j'ai arrété d'essayer." C'est un peu comme laisser votre porte d'entrée ouverte parce que vous savez qu'il y a des cambrioleurs dans les parages.

Mark Risher est directeur de la gestion des produits pour la sécurité et la confidentialité chez Google. En 2010, il a créé Impermium, une start-up dédiée à la sécurité, acquise par Google en 2014. Depuis, Mark Risher travaille au siège de l'entreprise, à Mountain View (Californie). À droite : une clé de sécurité utilisée dans le cadre du Programme Protection Avancée. Elle est disponible à petit prix et peut servir sur de nombreux sites Web.

Comment Google pourrait-il garantir la sécurité des utilisateurs si les mots de passe n'étaient plus utilisés ?

Mark Risher : De nombreuses autres mesures de sécurité sont déjà en place en coulisses. Même si un pirate informatique dérobait votre mot de passe et votre numéro de téléphone, nous pourrions toujours garantir une sécurité à 99,9 % pour votre compte Google. Par exemple, nous vérifions depuis quel appareil ou pays une personne se connecte. Si quelqu'un essaie de se connecter à votre compte plusieurs fois de suite avec le mauvais mot de passe, cela déclenche des alarmes dans nos systèmes de sécurité.

Stephan Micklitz : Nous avons aussi développé le Check-up Sécurité, qui permet aux utilisateurs de vérifier leurs paramètres de sécurité personnels dans leur compte Google, étape par étape. Et avec le Programme Protection Avancée, nous allons encore plus loin.

Quel est le principe de ce programme ?

Stephan Micklitz : À l'origine, le programme a été développé pour les politiciens, les PDG, les journalistes et d'autres personnes particulièrement susceptibles d'intéresser les pirates informatiques. Mais il est à présent disponible pour toute personne souhaitant une protection supplémentaire en ligne. Seules les personnes disposant d'une clé USB ou Bluetooth spéciale peuvent accéder à leur compte Google protégé.

Mark Risher : L'expérience nous a montré à quel point ce système était efficace. En effet, tous les employés de Google utilisent une clé de sécurité pour protéger leur compte professionnel. Depuis l'introduction de cette mesure de sécurité, nous n'avons pas eu un seul cas d'hameçonnage après la confirmation d'un mot de passe. Le jeton améliore considérablement la sécurité du compte Google, car même en connaissant le mot de passe, les pirates informatiques ne peuvent pas accéder au compte sans ce jeton. De manière générale, un compte en ligne peut être piraté depuis n'importe où dans le monde ; ce qui n'est pas possible pour les comptes protégés par un jeton de sécurité physique.

Stephan Micklitz : D'ailleurs, ces jetons de sécurité peuvent être utilisés pour de nombreux sites Web, pas seulement pour le Programme Protection Avancée de Google. Vous pouvez l'acheter auprès de nous ou d'autres fournisseurs pour une somme modique. Pour en savoir plus, rendez-vous sur g.co/advancedprotection.

"Les gens ont parfois du mal à évaluer les risques sur Internet."

Stephan Micklitz

À votre avis, quels sont les plus grands dangers sur Internet aujourd'hui ?

Mark Risher : L'un des problèmes réside dans la multitude de listes de noms d'utilisateur et de mots de passe qui existent en ligne. Notre collègue Tadek Pietraszek et son équipe ont passé six semaines à fouiller sur Internet, et ils ont trouvé 3,5 milliards de combinaisons de noms d'utilisateur et de mots de passe. Ce ne sont pas des données issues de comptes Google piratés. Ces données ont été volées auprès d'autres fournisseurs. Toutefois, comme de nombreux utilisateurs se servent du même mot de passe pour plusieurs comptes, ces listes nous posent problème.

Stephan Micklitz : Pour moi, le hameçonnage ciblé est un problème majeur. Le hameçonnage ciblé, c'est quand un pirate informatique élabore un message personnalisé de manière si ingénieuse qu'il est difficile pour la victime d'en reconnaître l'intention frauduleuse. Nous voyons de plus en plus de pirates informatiques utiliser cette méthode avec succès.

Mark Risher : Je suis d'accord avec Stephan. Le pire, c'est que le hameçonnage ciblé n'est pas aussi chronophage qu'il n'y paraît. Il ne faut souvent que quelques minutes pour personnaliser un message de spam. Les pirates informatiques peuvent utiliser les informations que les utilisateurs publient sur eux-mêmes en ligne. C'est un problème qui touche les cryptomonnaies, par exemple. Les personnes qui déclarent publiquement détenir 10 000 bitcoins ne devraient pas s'étonner que ce renseignement attire l'attention de cybercriminels.

Stephan Micklitz : C'est comme si j'allais au marché et que j'annonçais le solde de mon compte bancaire avec un mégaphone au beau milieu de la foule. Qui ferait ça ? Personne. Mais les gens ont parfois du mal à évaluer les risques sur Internet.

Le spam est-il toujours un problème ?

Mark Risher : L'utilisation combinée de différents appareils et services est un défi de taille pour nous. Les gens n'utilisent pas seulement des ordinateurs portables et des smartphones pour accéder à Internet. Ils se servent aussi de téléviseurs, de montres connectées et d'enceintes intelligentes. De nombreuses applications s'exécutent sur tous ces appareils, ce qui offre aux pirates informatiques une grande variété de points d'attaque potentiels. Comme de nombreux appareils sont à présent connectés, ces personnes malveillantes peuvent même en utiliser un pour essayer d'accéder aux informations stockées sur un autre. La question qui se pose à présent est donc la suivante : comment continuer à protéger nos utilisateurs malgré les innombrables nouvelles habitudes d'utilisation ?

Stephan Micklitz : Pour commencer, nous devons nous demander de quelles données nous avons vraiment besoin pour chaque service, et quelles données sont échangées entre les services.

Comment utilisez-vous l'intelligence artificielle pour protéger les utilisateurs ?

Stephan Micklitz : Google utilise l'intelligence artificielle depuis un certain temps déjà.

Mark Risher : La technologie est intégrée depuis le début à notre service de messagerie Gmail. Google a même développé sa propre bibliothèque de machine learning, appelée TensorFlow, qui facilite le travail des programmeurs dans ce domaine. TensorFlow est une plate-forme Open Source particulièrement utile dans le cas de Gmail, car elle fournit un service précieux pour reconnaître des formes typiques.

Pouvez-vous nous expliquer comment fonctionne cette reconnaissance de formes ?

Mark Risher : Supposons que l'on détecte une activité suspecte parmi des utilisateurs que nous ne pouvons pas catégoriser. Une machine qui apprend automatiquement peut comparer ces événements et, dans le meilleur des cas, détecter de nouvelles formes de fraude avant même qu'elles ne commencent à se répandre en ligne.

Stephan Micklitz : Mais il y a des limites à tout et l'intelligence d'une machine est limitée par l'intelligence de son utilisateur. Si je fournis à la machine des données fausses ou biaisées, les formes qu'elle reconnaîtra seront également fausses ou biaisées. Malgré tout l'intérêt que suscite l'intelligence artificielle, son efficacité dépend toujours de la personne qui l'utilise. C'est à l'utilisateur d'entraîner la machine avec des données de grande qualité et de vérifier ensuite les résultats.

Mark Risher : Un jour, alors que je travaillais pour un autre fournisseur de messagerie, j'ai reçu un e-mail d'un employé de banque à Lagos. À l'époque, de nombreux e-mails frauduleux provenant soi-disant du Nigéria circulaient. L'homme se plaignait que ses messages atterrissaient toujours dans le dossier de spam du destinataire, alors même qu'il travaillait pour une banque réputée. C'est un cas classique de fausse généralisation de la reconnaissance de formes dû à un manque d'informations. Nous avons modifié l'algorithme, et le problème a été résolu.

.

Photographies : Conny Mirbach