Comment Google protège vos données

Du piratage à l'hameçonnage en passant par les logiciels malveillants, les cybercriminels disposent de tout un arsenal de méthodes pour s'emparer de comptes d'utilisateurs en ligne. Stephan Micklitz et Tadek Pietraszek de Google travaillent sans relâche pour les empêcher d'arriver à leurs fins.

M. Pietraszek, vous et votre équipe êtes responsables de la sécurité des comptes d'utilisateurs. Comment empêchez-vous les pirates informatiques d'y accéder?

Tadek Pietraszek, ingénieur logiciel en chef pour la sécurité des comptes d'utilisateurs : Avant tout, il est important d'être en mesure de détecter l'attaque initiale. Nous utilisons plus d'une centaine de variables pour détecter les activités suspectes. Imaginons que vous habitez en Allemagne et que vous voyagez très rarement à l'étranger. Si quelqu'un essaie d'accéder à votre compte à partir d'un autre pays, nous sommes automatiquement alertés.

Stephan Micklitz, directeur de l'ingénierie pour l'équipe de confidentialité et de sécurité de Google : Voilà pourquoi nous vous demandons parfois de confirmer le numéro de téléphone que vous nous avez fourni ou une autre information que seul le titulaire du compte connaît.

Pour Tadek Pietraszek (à gauche), l'hameçonnage est l'une des principales menaces à la sécurité en ligne.

À quelle fréquence ces attaques se produisent-elles?

Tadek Pietraszek : Des centaines de milliers de cyberattaques ont lieu chaque jour. Notre plus gros problème est que l'on trouve sur Internet un nombre incalculable de listes contenant des noms d'utilisateurs et des mots de passe volés sur des sites piratés. Comme beaucoup de nos utilisateurs se servent du même mot de passe pour différents comptes, ces listes contiennent aussi des données de connexion à des comptes Google.

Ces listes représentent-elles la plus grande menace pour la sécurité?

Tadek Pietraszek : Oui, tout à fait. Ces listes et les tentatives d'hameçonnage classiques. Nous avons presque tous reçu des courriels envoyés par des criminels qui essayaient d'obtenir des mots de passe de comptes. Évidemment, nous faisons tous les efforts possibles pour les empêcher d'arriver à leurs fins. Si nous pensons qu'un courriel envoyé à votre boîte de réception Gmail est suspect, nous pouvons y ajouter un avertissement pour vous inviter à l'examiner attentivement, ou le filtrer automatiquement. Le navigateur Chrome envoie également des alertes lorsque vous essayez d'accéder à un site connu pour ses pratiques d'hameçonnage.

Stephan Micklitz : Il existe deux principaux types d'hameçonnage. Le premier, ce sont les courriels envoyés en masse, que les malfaiteurs utilisent pour obtenir autant de données de connexion que possible. Le second correspond au harponnage, c'est-à-dire l'hameçonnage ciblant le compte d'une personne en particulier. Cette dernière approche peut être très sophistiquée et se dérouler sur plusieurs mois pendant lesquels les criminels examinent en détail la vie de la personne visée en vue de lancer une attaque ciblée.

« Si nous pensons qu'un courriel envoyé à votre boîte de réception Gmail est suspect, nous pouvons y ajouter un avertissement. »

Tadek Pietraszek

Que fait Google pour aider ses utilisateurs à déjouer de telles attaques?

Tadek Pietraszek : Je peux vous donner l'exemple de notre système de validation en deux étapes. De nombreux utilisateurs ont déjà recours à ce type de système pour accéder à leurs comptes bancaires en ligne. Si vous voulez faire un virement, par exemple, il est parfois nécessaire d'entrer votre mot de passe, mais aussi un code envoyé par messagerie texte. Google a lancé la validation en deux étapes en 2009, bien avant la plupart des autres grands fournisseurs de messagerie. De plus, les utilisateurs Google qui ont enregistré leur numéro de téléphone cellulaire bénéficient automatiquement d'un niveau comparable de protection contre les tentatives de connexion suspectes.

Stephan Micklitz : La validation en deux étapes est une bonne méthode, mais même les codes envoyés par message texte peuvent être interceptés. Par exemple, des criminels pourraient communiquer avec votre fournisseur de service de téléphonie et essayer de se faire envoyer une deuxième carte SIM. L'authentification avec un jeton de sécurité physique (comme un émetteur Bluetooth ou une clé USB) est encore plus sûre.

Tadek Pietraszek : Nous utilisons cette ressource dans notre programme de protection avancée.

En quoi consiste-t-il?

Tadek Pietraszek : Le programme de protection avancée a été lancé par Google en 2017. Il est destiné aux utilisateurs les plus souvent ciblés par des pirates informatiques, comme les journalistes, les PDG, les politiciens et les dissidents politiques.

Stephan Micklitz : En plus de notre clé de sécurité physique, nous limitons aussi l'accès aux données pour les applications tierces en ajoutant des étapes supplémentaires qui obligent les utilisateurs à valider leur identité en cas de perte de la clé.

Stephan Micklitz
Sicherheitsschlüssel

Stephan Micklitz, directeur de l'ingénierie, est responsable de la sécurité et de la confidentialité à l'échelle internationale chez Google. Il a étudié l'informatique à l'Université technique de Munich et travaille dans les bureaux de Google de cette même ville depuis la fin de 2007.

Pouvez-vous nous parler d'une cyberattaque importante et de la façon dont vous y avez réagi?

Tadek Pietraszek : Une telle attaque a eu lieu au début de 2017. Des pirates informatiques avaient créé un logiciel malveillant pour accéder aux comptes Google de leurs victimes et envoyer des courriels frauduleux aux contacts de ces utilisateurs. Dans ces courriels, il était demandé aux destinataires d'autoriser l'accès à un document Google falsifié. Ceux qui l'ont fait ont involontairement autorisé l'accès au logiciel malveillant, ce qui a entraîné l'envoi automatique du même courriel frauduleux à leurs propres contacts. Le virus s'est propagé rapidement. Nous avons des plans de secours pour de telles situations.

Stephan Micklitz : Dans ce cas particulier, par exemple, nous avons bloqué la distribution de ces courriels dans Gmail, révoqué l'accès du logiciel et sécurisé les comptes. Bien sûr, nous avons également ajouté des protections automatiques pour empêcher que ce type d'attaque ne se reproduise. Les comptes Google sont constamment attaqués, et nos systèmes automatisés offrent la protection la plus efficace. Pour cela, il est bien sûr essentiel de pouvoir communiquer avec nos utilisateurs par d'autres moyens que leur compte Google, comme par une adresse de courriel secondaire ou un numéro de téléphone cellulaire.

« En fait, il suffit généralement de respecter quelques règles toutes simples. »

Stephan Micklitz

Quelle est l'importance de la sécurité pour l'utilisateur ordinaire?

Tadek Pietraszek : La sécurité est très importante pour beaucoup d'utilisateurs, mais les précautions qu'elle impose de prendre peuvent être fastidieuses. C'est ce qui explique, par exemple, pourquoi les gens utilisent souvent le même mot de passe pour plusieurs comptes, ce qui est la pire des erreurs. Notre rôle est d'expliquer aux utilisateurs comment ils peuvent protéger leurs comptes sans se compliquer la vie. C'est pourquoi nous offrons la fonctionnalité de Vérification de la sécurité dans les comptes Google afin de permettre aux utilisateurs de vérifier facilement leurs paramètres.

Stephan Micklitz : En fait, il suffit généralement de respecter quelques règles toutes simples.

Quelles sont ces règles?

Stephan Micklitz : N'utilisez pas le même mot de passe pour plusieurs services, installez les mises à jour de sécurité et évitez les logiciels suspects. Fournissez un numéro de téléphone ou une adresse de courriel secondaire afin qu'on puisse communiquer avec vous par d'autres moyens. Enfin, activez le verrouillage de l'écran de votre téléphone pour compliquer la tâche aux personnes non autorisées qui souhaiteraient y accéder. Ces mesures à elles seules constituent un bon point de départ.

Photographies : Conny Mirbach

Découvrez comment Google aide à assurer la sécurité de tous en ligne.