Comment Google sécurise vos données

M. Pietraszek, vous êtes responsable, avec votre équipe, de la sécurité des comptes utilisateur. Comment empêchez-vous les pirates informatiques d'y accéder ?

Tadek Pietraszek, ingénieur logiciel principal pour la sécurité des comptes utilisateur : Avant tout, il est important d'être en mesure de détecter l'attaque initiale. Nous utilisons plus d'une centaine de variables pour identifier les activités suspectes. Imaginons que vous habitez en Allemagne et que vous voyagez très rarement à l'étranger. Si quelqu'un essaie d'accéder à votre compte depuis un autre pays, nous sommes automatiquement alertés.

Stephan Micklitz, directeur de l'ingénierie au sein de l'équipe Google chargée de la confidentialité et de la sécurité : Voilà pourquoi nous vous demandons parfois de confirmer le numéro de téléphone que vous nous avez fourni ou une autre information que seul le titulaire du compte connaît.

Pour Tadek Pietraszek (à gauche), l'hameçonnage est l'une des plus grandes menaces pour la sécurité en ligne.

À quelle fréquence ce type d'attaque se produit-il ?

Tadek Pietraszek : Des centaines de milliers de cyberattaques sont lancées chaque jour. Notre plus gros problème est que l'on trouve sur Internet un nombre incalculable de listes contenant des noms d'utilisateurs et des mots de passe volés sur des sites piratés. Comme beaucoup de nos utilisateurs se servent du même mot de passe pour différents comptes, ces listes contiennent aussi les identifiants de connexion à des comptes Google.

Ces listes représentent-elles la plus grande menace pour la sécurité ?

Pietraszek : Oui, absolument. Ces listes et les tentatives d'hameçonnage classiques. Nous avons presque tous reçu des e-mails envoyés par des criminels qui essayaient d'obtenir des mots de passe de comptes. Naturellement, nous faisons tout ce qui est de notre ressort pour les empêcher d'arriver à leurs fins. Si nous estimons qu'un e-mail envoyé à votre boîte de réception Gmail est suspect, nous pouvons y ajouter un avertissement pour vous inviter à l'examiner attentivement, ou le filtrer automatiquement. Le navigateur Chrome envoie également des alertes lorsque vous essayez d'accéder à un site connu pour ses pratiques d'hameçonnage.

Stephan Micklitz : Il existe deux principaux types d'hameçonnage. Le premier, ce sont les e-mails envoyés en masse, que les hackers utilisent pour récupérer autant de données de connexion que possible. Le second vise le compte d'un individu en particulier, c'est ce qu'on appelle "hameçonnage ciblé". Cette dernière approche peut se manifester sous forme d'opérations très sophistiquées se déroulant sur plusieurs mois pendant lesquels les criminels examinent en détail la vie de la personne visée en vue de lancer une attaque ciblée.

"Si nous estimons qu'un e-mail envoyé à votre boîte de réception Gmail est suspect, nous pouvons y ajouter un avertissement."

Tadek Pietraszek

Comment Google aide-t-il ses utilisateurs à éviter que de telles attaques ne réussissent ?

Tadek Pietraszek : Par exemple, nous proposons la validation en deux étapes. Un grand nombre d'utilisateurs ont déjà recours à ce type de système pour accéder à leurs comptes bancaires en ligne. Si vous voulez faire un virement, par exemple, il est parfois nécessaire de saisir à la fois votre mot de passe et un code envoyé par message. Google a lancé l'authentification à deux facteurs en 2009, bien avant la plupart des autres grands fournisseurs de messagerie. De plus, les utilisateurs Google qui ont enregistré leur numéro de téléphone mobile bénéficient automatiquement d'un niveau comparable de protection contre les tentatives de connexion suspectes.

Stephan Micklitz : L'authentification à deux facteurs est une bonne méthode, mais même les codes envoyés par message peuvent être interceptés. Par exemple, des criminels peuvent contacter votre opérateur mobile et essayer de se faire envoyer une deuxième carte SIM. L'authentification avec un jeton de sécurité physique (comme un transmetteur Bluetooth ou une clé USB) est encore plus sûre.

Tadek Pietraszek : Nous utilisons cette ressource dans notre Programme Protection Avancée.

De quoi s'agit-il ?

Tadek Pietraszek : Le Programme Protection Avancée a été lancé par Google en 2017. Il est destiné aux utilisateurs les plus souvent ciblés par des pirates informatiques, comme les journalistes, les PDG, les hommes politiques ou les dissidents politiques.

Stephan Micklitz : En plus de notre clé de sécurité physique, nous limitons aussi l'accès aux données pour les applications tierces en ajoutant des étapes supplémentaires qui obligent les utilisateurs à valider leur identité en cas de perte de la clé.

Stephan Micklitz, directeur de l'ingénierie, est responsable de la confidentialité et de la sécurité au niveau mondial chez Google. Il a étudié l'informatique à l'Université technique de Munich et travaille chez Google dans cette même ville depuis fin 2007.

Pouvez-vous nous parler d'une cyberattaque importante et de la façon dont vous avez réagi ?

Tadek Pietraszek : Une attaque de ce type a eu lieu début 2017. Les pirates informatiques avaient créé un logiciel malveillant pour accéder aux comptes Google de leurs victimes et pour envoyer des e-mails frauduleux aux contacts de ces utilisateurs. Dans ces e-mails, il était demandé aux destinataires d'autoriser l'accès à un document Google falsifié. Ceux qui l'ont fait ont involontairement autorisé l'accès au logiciel malveillant, ce qui a entraîné l'envoi automatique du même e-mail frauduleux à leurs propres contacts. Le virus s'est propagé rapidement. Nous avons des plans d'action pour ce type de situations.

Stephan Micklitz : Dans ce cas particulier, par exemple, nous avons bloqué la distribution de ces e-mails dans Gmail, annulé l'accès au logiciel et sécurisé les comptes. Bien sûr, nous avons également ajouté des mesures de protection automatiques pour empêcher que ce type d'attaque ne se reproduise. Les comptes Google sont constamment attaqués, et nos systèmes automatisés offrent la protection la plus efficace. Pour cela, il est bien sûr essentiel de pouvoir contacter nos utilisateurs par d'autres moyens que leur compte Google, c'est-à-dire au moyen d'une adresse e-mail secondaire ou d'un numéro de téléphone mobile.

"En fait, il suffit généralement de respecter quelques règles toutes simples."

Stephan Micklitz

Quelle est l'importance de la sécurité pour l'utilisateur moyen ?

Tadek Pietraszek : La sécurité est très importante pour beaucoup d'utilisateurs, mais les précautions qu'elle impose peuvent être fastidieuses. Cela explique, par exemple, pourquoi les gens utilisent souvent le même mot de passe pour plusieurs comptes, ce qui est la pire des erreurs. Notre rôle est d'expliquer aux utilisateurs comment ils peuvent protéger leurs comptes sans se compliquer la vie. C'est pourquoi nous proposons la fonctionnalité Check-up Sécurité dans les comptes Google afin de permettre aux utilisateurs de vérifier facilement leurs paramètres.

Stephan Micklitz : En fait, il suffit généralement de respecter quelques règles toutes simples.

Et quelles sont ces règles ?

Stephan Micklitz : N'utilisez pas le même mot de passe pour plusieurs services, installez les mises à jour de sécurité et évitez les logiciels suspects. Fournissez un numéro de téléphone ou une adresse e-mail secondaire afin qu'on puisse vous contacter par d'autres moyens. Enfin, activez le verrouillage de l'écran sur votre téléphone pour compliquer la tâche aux personnes non autorisées qui souhaiteraient en prendre le contrôle. Ces mesures à elles seules constituent un bon point de départ.

.

Photographies : Conny Mirbach