Comment Google sécurise vos données
Du piratage à l'hameçonnage en passant par les logiciels malveillants, les cybercriminels disposent de tout un arsenal de méthodes pour prendre le contrôle de comptes utilisateur en ligne. Stephan Micklitz et Tadek Pietraszek, chez Google, travaillent sans relâche pour les empêcher d'arriver à leurs fins.
M. Pietraszek, vous et votre équipe êtes responsables de la sécurité des comptes utilisateur. Comment empêchez-vous les pirates informatiques d'y accéder ?
Tadek Pietraszek, ingénieur logiciel principal pour la sécurité des comptes utilisateur : Avant tout, il est important d'être en mesure de détecter l'attaque initiale. Nous utilisons plus d'une centaine de variables pour identifier les activités suspectes. Imaginons que vous habitez en Allemagne et que vous voyagez très rarement à l'étranger. Si quelqu'un essaie d'accéder à votre compte depuis un autre pays, nous sommes automatiquement alertés.
Stephan Micklitz, directeur de l'ingénierie au sein de l'équipe Google chargée de la confidentialité et de la sécurité : Voilà pourquoi nous vous demandons parfois de confirmer le numéro de téléphone que vous nous avez fourni ou une autre information que seul le titulaire du compte connaît.
À quelle fréquence ces attaques se produisent-elles ?
Tadek Pietraszek : Des centaines de milliers de cyberattaques ont lieu chaque jour. Notre plus gros problème est que l'on trouve sur Internet un nombre incalculable de listes contenant des noms d'utilisateurs et des mots de passe volés sur des sites piratés. Comme beaucoup de nos utilisateurs se servent du même mot de passe pour différents comptes, ces listes contiennent aussi les identifiants de connexion à des comptes Google.
Ces listes représentent-elles le risque le plus important en termes de sécurité ?
Tadek Pietraszek : Oui, tout à fait. Ces listes et les tentatives d'hameçonnage classiques. Nous avons presque tous reçu des e-mails envoyés par des criminels qui essayaient d'obtenir des mots de passe de comptes. Naturellement, nous faisons tout ce qui est de notre ressort pour les empêcher d'arriver à leurs fins. Si nous estimons qu'un e-mail envoyé à votre boîte de réception Gmail est suspect, nous pouvons y ajouter un avertissement pour vous inviter à l'examiner attentivement, ou le filtrer automatiquement. Le navigateur Chrome envoie également des alertes lorsque vous essayez d'accéder à un site connu pour ses pratiques d'hameçonnage.
Stephan Micklitz : Il existe deux principaux types d'hameçonnage. Le premier, ce sont les e-mails envoyés en masse, que les hackers utilisent pour récupérer autant de données de connexion que possible. Le second correspond au harponnage, c'est-à-dire l'hameçonnage ciblant le compte d'un individu en particulier. Cette dernière approche peut se manifester sous forme d'opérations très sophistiquées se déroulant sur plusieurs mois pendant lesquels les criminels examinent en détail la vie de la personne visée en vue de lancer une attaque ciblée.
"Si nous estimons qu'un e-mail envoyé à votre boîte de réception Gmail est suspect, nous pouvons y ajouter un avertissement."
Tadek Pietraszek
Que fait Google pour aider ses utilisateurs à déjouer de telles attaques ?
Tadek Pietraszek : Je peux vous donner l'exemple de notre système de validation en deux étapes. Beaucoup d'utilisateurs ont déjà recours à ce type de système pour accéder à leurs comptes bancaires en ligne. Si vous voulez faire un virement, par exemple, il est parfois nécessaire de saisir à la fois votre mot de passe et un code envoyé par SMS. Google a lancé l'authentification à deux facteurs en 2009, bien avant la plupart des autres grands fournisseurs de messagerie. De plus, les utilisateurs Google qui ont enregistré leur numéro de téléphone mobile bénéficient automatiquement d'un niveau comparable de protection contre les tentatives de connexion suspectes.
Stephan Micklitz : L'authentification à deux facteurs est une bonne méthode, mais même les codes envoyés par SMS peuvent être interceptés. Par exemple, des criminels peuvent contacter votre opérateur mobile et essayer de se faire envoyer une deuxième carte SIM. L'authentification avec un jeton de sécurité physique (comme un transmetteur Bluetooth ou une clé USB) est encore plus sûre.
Tadek Pietraszek : Nous utilisons cette ressource dans notre Programme Protection Avancée.
En quoi consiste-t-il ?
Tadek Pietraszek : Le Programme Protection Avancée a été lancé par Google en 2017. Il est destiné aux utilisateurs les plus souvent ciblés par des pirates informatiques, comme les journalistes, les PDG, les hommes politiques ou les dissidents politiques.
Stephan Micklitz : En plus de notre clé de sécurité physique, nous limitons aussi l'accès aux données pour les applications tierces en ajoutant des étapes supplémentaires qui obligent les utilisateurs à valider leur identité en cas de perte de la clé.
Pouvez-vous nous parler d'une cyberattaque importante et de la façon dont vous avez réagi ?
Tadek Pietraszek : Une attaque de ce type a eu lieu début 2017. Les pirates informatiques avaient créé un logiciel malveillant pour accéder aux comptes Google de leurs victimes et pour envoyer des e-mails frauduleux aux contacts de ces utilisateurs. Dans ces e-mails, il était demandé aux destinataires d'autoriser l'accès à un document Google falsifié. Ceux qui l'ont fait ont involontairement autorisé l'accès au logiciel malveillant, ce qui a entraîné l'envoi automatique du même e-mail frauduleux à leurs propres contacts. Le virus s'est propagé rapidement. Nous avons des plans d'action pour ce type de situations.
Stephan Micklitz : Dans ce cas particulier, par exemple, nous avons bloqué la distribution de ces e-mails dans Gmail, annulé l'accès au logiciel et sécurisé les comptes. Bien sûr, nous avons également ajouté des mesures de protection automatiques pour empêcher que ce type d'attaque ne se reproduise. Les comptes Google sont constamment attaqués, et nos systèmes automatisés offrent la protection la plus efficace. Pour cela, il est bien sûr essentiel de pouvoir contacter nos utilisateurs par d'autres moyens que leur compte Google, c'est-à-dire via une adresse e-mail secondaire ou un numéro de téléphone mobile.
"En fait, il suffit généralement de respecter quelques règles toutes simples."
Stephan Micklitz
Quelle est l'importance de la sécurité pour l'utilisateur lambda ?
Tadek Pietraszek : La sécurité est très importante pour beaucoup d'utilisateurs, mais les précautions qu'elle impose peuvent être fastidieuses. Cela explique, par exemple, pourquoi les gens utilisent souvent le même mot de passe pour plusieurs comptes, ce qui est la pire des erreurs. Notre rôle est d'expliquer aux utilisateurs comment ils peuvent protéger leurs comptes sans se compliquer la vie. C'est pourquoi nous proposons la fonctionnalité Check-up Sécurité dans les comptes Google afin de permettre aux utilisateurs de vérifier facilement leurs paramètres.
Stephan Micklitz : En fait, il suffit généralement de respecter quelques règles toutes simples.
Quelles sont ces règles ?
Stephan Micklitz : N'utilisez pas le même mot de passe pour plusieurs services, installez les mises à jour de sécurité et évitez les logiciels suspects. Fournissez un numéro de téléphone ou une adresse e-mail secondaire afin qu'on puisse vous contacter par d'autres moyens. Enfin, activez le verrouillage de l'écran sur votre téléphone pour compliquer la tâche aux individus non autorisés qui souhaiteraient en prendre le contrôle. Ces mesures à elles seules constituent un bon point de départ.
Photographies : Conny Mirbach
Avancées en cybersécurité
Découvrez comment nous protégeons plus d'utilisateurs en ligne que n'importe quelle autre entreprise au monde.
En savoir plus