Pour mieux protéger les comptes Google de ses utilisateurs les plus menacés -- journalistes, humanitaires, hommes et femmes politiques... --, la firme de Mountain View lance un programme de « protection avancée ». Elle entend ainsi éviter le succès des campagnes de phishing semblables à celles qui ont eu lieu en 2017.

Face aux récentes campagnes de phishing menées contre les utilisateurs de ses services, Google a visiblement décidé d’agir. Le géant de Mountain View vient en effet d’annoncer le lancement d’une « protection avancée » réservée aux internautes concernés.

Google explique sur son blog : « Nous avons adopté cette mesure inhabituelle car il existe, parmi nos utilisateurs, une minorité négligée particulièrement exposée au risque d’attaques en ligne. À titre d’exemple, il peut s’agir de membres d’une équipe qui se préparent à une élection, de journalistes qui doivent protéger la confidentialité de leurs sources ou de personnes engagées dans une relation violente qui ont besoin de sécurité. »

Google reconnaît en outre que même les utilisateurs les plus prudents et au fait de ce genre de dangers peuvent se laisser piéger par des campagnes de phishing particulièrement bien pensées. Au printemps dernier, une campagne de hameçonnage virale a notamment piégé de nombreux utilisateurs de Google Docs, quelques mois après une autre vague d’attaque qui ciblait les comptes Gmail de plusieurs journalistes et universitaires.

Une clé de sécurité physique

Pour mieux assurer la sécurité de ces utilisateurs particulièrement menacés — sur leur compte personnel uniquement –, cette protection avancée repose sur 3 mesures distinctes. La première requiert l’utilisation, pour se connecter à son compte, d’une clé de sécurité qui peut prendre la forme d’une clé USB ou d’un appareil sans fil, « considérée de longue date comme la version la plus sécurisée de la double authentification ». Tout hackeur qui tente de s’infiltrer dans la boîte mail reste bloqué en l’absence de cette clé de sécurité, et ce même s’il possède le mot de passe du compte. Les utilisateurs de Google devront toutefois dépenser près de 20 euros pour s’offrir cette clé de sécurité.

Autre levier de défense : l’accès d’applis externes aux comptes Gmail et Drive est pour l’instant uniquement réservé aux services Google. Plus de risque, donc, de partager par erreur les données sensibles contenues sur l’un de vos comptes avec une appli externe peu fiable.

Enfin, Google a rajouté des étapes supplémentaires dans le processus de récupération d’un compte, une méthode prisée des pirates pour accéder au compte visé : ils prétendent en être le véritable utilisateur, qui s’en serait vu refuser l’accès sans raison légitime. Dans le cadre de sa protection avancée, Google demande encore plus de détails au détenteur du compte pour s’assurer qu’il s’agit bien de lui.

Chrome, un navigateur imposé

Le géant du web explique avoir testé avec succès ce palier supplémentaire de sécurité au cours des dernières semaines à l’aide de différents testeurs. À ce stade, il suffit de posséder un compte Google pour demander l’accès à cette protection avancée — à la seule condition d’utiliser le navigateur Chrome, « compatible avec le standard U2F des clés de sécurité ».

Pour Joseph Lorenzo Hall, responsable de la technologie au Centre pour la démocratie et la technologie, l’initiative est de taille : « Si John Podesta [le directeur de campagne d’Hillary Clinton dont les mails ont été piratés et dévoilés avant le scrutin présidentiel] avait pu activer cette option à un moment donné l’an dernier, le monde serait sans doute très différent [aujourd’hui]. »

Partager sur les réseaux sociaux