Gérer les mots de passe en ligne

Face à la sécurité en ligne, de nombreux utilisateurs se sentent désemparés. Mark Risher et Stephan Micklitz, de Google, parlent de la façon dont ils tiennent compte de ces émotions dans la conception de mesures de sécurité.

Monsieur Risher, vous êtes directeur de la gestion de produits chez Google, et vous travaillez dans le domaine de la sécurité sur Internet. Avez-vous déjà été vous-même victime d'une escroquerie en ligne?

Mark Risher : Je n'ai pas d'exemple précis en tête, mais je suppose que oui. Comme tout le monde, je fais des erreurs lorsque je navigue sur Internet. Par exemple, j'ai récemment entré mon mot de passe pour Google sur le mauvais site. Heureusement, j'avais installé le plugiciel Alerte mot de passe pour Chrome, qui m'a signalé mon erreur. J'ai tout de suite changé mon mot de passe, bien sûr.

Stephan Micklitz, directeur de l'ingénierie pour l'équipe de confidentialité et de sécurité de Google : C'est humain. Une fois qu'on a mémorisé un mot de passe, il est facile de l'entrer sans faire vraiment attention au site où on se trouve.

Mark Risher : Nous préférerions pouvoir nous passer complètement des mots de passe, mais ce n'est malheureusement pas si facile.

« De nombreuses mesures de sécurité sont déjà en place en coulisses. »

Mark Risher

Quel est le problème des mots de passe?

Mark Risher : Ils présentent de nombreux inconvénients. Ils sont faciles à voler, mais difficiles à retenir, et leur gestion peut être fastidieuse. De nombreux utilisateurs croient qu'un mot de passe doit être aussi long et compliqué que possible, alors que cela accroît en fait les risques pour la sécurité. Lorsqu'un mot de passe est compliqué, les utilisateurs ont tendance à s'en servir pour plusieurs comptes, ce qui les rend encore plus vulnérables.

Stephan Micklitz : Moins vous entrez souvent un mot de passe, mieux c'est. C'est pourquoi vous ne devriez pas vous connecter à vos comptes et vous en déconnecter de manière répétitive. Au fil du temps, cela peut faire que les utilisateurs font moins attention à la page Web sur laquelle ils se trouvent, ce qui facilite la tâche des pirates informatiques qui cherchent à voler des mots de passe. Nous conseillons donc à nos utilisateurs de rester connectés.

Le site Web de ma banque me déconnecte automatiquement au bout de plusieurs minutes d'inactivité.

Stephan Micklitz : Malheureusement, de nombreuses entreprises suivent toujours des règles désuètes. Il était conseillé de se déconnecter systématiquement à l'époque où la plupart des gens se connectaient à Internet dans des cybercafés ou partageaient un ordinateur avec d'autres personnes. Nos recherches montrent que plus un utilisateur entre ses mots de passe fréquemment, plus il risque d'être victime d'une cyberattaque. Il est donc plus sûr d'activer simplement le verrouillage de l'écran sur votre téléphone cellulaire ou votre ordinateur et d'utiliser un mot de passe sécuritaire.

Mark Risher : C'est exact. Malheureusement, de nombreux conseils faux ou impossibles à suivre circulent actuellement, ce qui peut être déroutant pour beaucoup d'utilisateurs. Dans le pire des cas, les gens peuvent se sentir si désemparés qu'ils baissent tout simplement les bras : « Si c'est si difficile de me protéger, autant renoncer. » C'est un peu comme laisser votre porte d'entrée ouverte parce que vous savez qu'il y a des cambrioleurs dans les parages.

Mark Risher
USB Sicherheitsschlüssel

Mark Risher est directeur de la gestion de produits pour la sécurité et la confidentialité chez Google. En 2010, il a créé Impermium, une entreprise de cybersécurité, acquise par Google en 2014. Depuis, Mark Risher travaille au siège social de l'entreprise, à Mountain View en Californie. À droite : une clé de sécurité utilisée dans le programme de protection avancée. Elle est offerte à un prix minime et peut servir pour de nombreux sites Web.

Comment Google pourrait-il garantir la sécurité des utilisateurs si les mots de passe n'étaient plus utilisés?

Mark Risher : De nombreuses autres mesures de sécurité sont déjà en place en coulisses. Même si un pirate informatique obtenait votre mot de passe et votre numéro de téléphone, nous pourrions quand même garantir la sécurité de votre compte Google à 99,9 %. Par exemple, nous vérifions à partir de quel appareil ou de quel pays un individu se connecte. Si quelqu'un essaie de se connecter à votre compte plusieurs fois de suite avec le mauvais mot de passe, il déclenche des alarmes dans nos systèmes de sécurité.

Stephan Micklitz : Nous avons aussi développé la Vérification de la sécurité, qui permet aux utilisateurs de vérifier leurs paramètres de sécurité personnels dans leur compte Google, étape par étape. Et grâce au programme de protection avancée, nous allons encore plus loin.

Quelle est l'idée derrière ce programme?

Stephan Micklitz : À l'origine, le programme a été conçu pour les politiciens, les PDG, les journalistes et d'autres personnes susceptibles d'être la cible de pirates informatiques. Mais il est maintenant offert à toute personne souhaitant une protection accrue en ligne. Seules les personnes disposant d'une clé USB ou Bluetooth spéciale peuvent accéder à leur compte Google protégé.

Mark Risher : L'expérience nous a montré à quel point ce système est efficace. En effet, tous les employés de Google utilisent une clé de sécurité pour protéger leur compte professionnel. Depuis l'introduction de cette mesure de sécurité, nous n'avons pas eu un seul cas d'hameçonnage associé à la confirmation d'un mot de passe. Le jeton améliore considérablement la sécurité du compte Google, parce que même en connaissant le mot de passe, les pirates informatiques ne peuvent pas accéder au compte sans ce jeton. De manière générale, un compte en ligne peut être piraté de n'importe quel endroit dans le monde, ce qui n'est pas possible pour les comptes protégés par un jeton de sécurité physique.

Stephan Micklitz : D'ailleurs, ces jetons de sécurité peuvent être utilisés pour de nombreux sites Web, pas seulement pour le programme de protection avancée de Google. Vous pouvez acheter ces jetons de nous ou d'autres fournisseurs à un prix minime. Vous trouverez toute l'information sur la page g.co/advancedprotection.

« Les gens ont parfois du mal à évaluer les risques sur Internet. »

Stephan Micklitz

À votre avis, quels sont les plus grands dangers sur Internet aujourd'hui?

Mark Risher : Un des problèmes est la présence de nombreuses listes de noms d'utilisateurs et de mots de passe en ligne. Notre collègue Tadek Pietraszek et son équipe ont passé six semaines à fouiller sur Internet, et ils ont trouvé 3,5 milliards de combinaisons de noms d'utilisateurs et de mots de passe. Ce ne sont pas des données issues de comptes Google piratés. Ces données ont été volées d'autres fournisseurs. Toutefois, comme de nombreux utilisateurs se servent du même mot de passe pour plusieurs comptes, ces listes représentent un problème pour nous aussi.

Stephan Micklitz : Pour moi, le harponnage est un problème majeur. Le harponnage désigne l'élaboration par un pirate informatique d'un message personnalisé de manière si ingénieuse qu'il est difficile pour la victime d'en reconnaître l'intention frauduleuse. Nous voyons de plus en plus de pirates informatiques utiliser cette méthode, avec succès.

Mark Risher : Je suis d'accord avec Stephan. De plus, le harponnage n'est pas aussi chronophage qu'il y paraît. Il ne faut souvent que quelques minutes pour personnaliser un pourriel. Les pirates informatiques peuvent utiliser les renseignements que les utilisateurs publient sur eux-mêmes en ligne. C'est un problème qui touche les cryptomonnaies, par exemple. Les personnes qui déclarent publiquement détenir 10 000 bitcoins ne devraient pas s'étonner que ce renseignement attire l'attention de cybercriminels.

Stephan Micklitz : C'est comme si j'allais au marché et que j'annonçais le solde de mon compte bancaire avec un mégaphone au beau milieu de la foule. Qui ferait ça? Personne. Mais les gens ont parfois du mal à évaluer les risques sur Internet.

Est-ce que les pourriels réguliers sont toujours un problème?

Mark Risher : L'association de différents appareils et services est un défi de taille pour nous. Les gens n'utilisent pas seulement des ordinateurs portables et des téléphones intelligents pour accéder à Internet. Ils se servent aussi de téléviseurs, de montres intelligentes et de haut-parleurs intelligents. De nombreuses applications s'exécutent sur tous ces appareils, ce qui offre aux pirates informatiques une grande variété de points d'attaque potentiels. Comme de nombreux appareils sont à présent connectés, ces pirates peuvent en utiliser un pour essayer d'accéder aux données stockées sur un autre. La question qui se pose à présent est donc la suivante : « Comment continuer à protéger nos utilisateurs malgré les innombrables nouvelles habitudes d'utilisation? »

Stephan Micklitz : Pour commencer, nous devons nous demander de quelles données nous avons vraiment besoin pour chaque service, et quelles données sont échangées entre les services.

Comment utilisez-vous l'intelligence artificielle pour protéger les utilisateurs?

Stephan Micklitz : Google utilise l'intelligence artificielle depuis un certain temps déjà.

Mark Risher : La technologie est intégrée depuis le début à notre service de courriel, Gmail. Google a même créé sa propre bibliothèque d'apprentissage automatique, appelée TensorFlow, qui facilite le travail des programmeurs dans ce domaine. TensorFlow est particulièrement utile à Gmail, car cette plateforme fournit un service précieux pour reconnaître les formes typiques.

Pouvez-vous nous expliquer comment fonctionne cette reconnaissance de formes?

Mark Risher : Supposons que nous observons de l'activité suspecte parmi des utilisateurs que nous ne pouvons pas catégoriser. Une machine qui apprend automatiquement peut comparer ces événements et, dans le meilleur des cas, détecter de nouvelles formes de fraude avant même qu'elles commencent à se répandre en ligne.

Stephan Micklitz : Mais il y a des limites. L'intelligence d'une machine est limitée par l'intelligence de son utilisateur. Si je fournis à la machine des données fausses ou partiales, les formes qu'elle reconnaît seront également fausses ou partiales. Malgré tout l'intérêt que suscite l'intelligence artificielle, son efficacité dépend toujours de la personne qui l'utilise. C'est à l'utilisateur d'entraîner la machine avec des données de grande qualité et de vérifier ensuite les résultats.

Mark Risher : Un jour, lorsque je travaillais pour un autre fournisseur de courrier électronique, j'ai reçu un message d'un employé de banque à Lagos. À l'époque, de nombreux courriels frauduleux semblant provenir du Nigéria circulaient. L'homme se plaignait que ses courriels se retrouvaient toujours dans le dossier de pourriel du destinataire, même s'il travaillait pour une banque de bonne réputation. C'est un cas classique de fausse généralisation de la reconnaissance de formes en raison d'un manque d'information. Nous avons modifié l'algorithme, et le problème a été résolu.

Photographies : Conny Mirbach

Découvrez comment Google aide à assurer la sécurité de tous en ligne.