Google dévoile les résultats d'une étude sur le piratage de ses comptes menée conjointement avec l'université de Californie à Berkeley pendant un an : il en ressort que le phishing et les keyloggers restent les méthodes les plus efficaces pour récupérer des identifiants.

Combien de comptes Google sont touchés par des tentatives de piratage régulières ? Quelles méthodes s’avèrent les plus dangereuses ? Pour le savoir, le géant de Mountain View a mené une étude d’un an sur le sujet — entre mars 2016 et mars 2017 — avec l’aide de l’université de Californie à Berkeley, en se penchant notamment sur « différents marchés noirs » où se trouvent 1,9 milliard d’identifiants issus de fuite de données.

Résultat ? Près de 250 000 identifiants et mots de passe de comptes Google sont dérobés en moyenne toutes les semaines. La méthode la plus efficace reste le traditionnel phishing, qui consiste à duper l’internaute en usurpant l’identité d’un entreprise ou d’un service fiable pour le convaincre de partager ses informations de connexion.

La preuve : au total, sur les données récoltées par Google et l’université de Californie à Berkeley, 12,4 millions d’identifiants ont été dérobés grâce au phishing, contre « seulement » 788 000 par des keyloggers, ces logiciels espions qui, une fois installés, permettent d’enregistrer toutes les frappes sur un clavier. Ramené au nombre moyen par semaine, le phishing récolte ainsi près de 234 000 identifiants valides par semaine contre 15 000 pour les keyloggers.

Une sécurité avancée encore méconnue du public

La mise en avant de ces données de sécurité n’est pas innocente pour la firme de Mountain View, qui a lancé à la mi-octobre une « protection avancée », réservée aux comptes d’utilisateurs les plus à risque, qui nécessite des clés de sécurité physiques.

L’entreprise précise par ailleurs avoir mis à contribution les découvertes de cette étude pour « sécuriser 67 millions de comptes Google avant qu’ils ne soient exploités » alors que , selon ses découvertes, seulement 3,1 % des utilisateurs dont le compte a été piraté recourent ensuite à des mesures de sécurité renforcées comme la double authentification.

De nombreux comptes Gmail ont fait l’objet de campagnes de phishing ces derniers mois, notamment en janvier et en mai 2017.

Partager sur les réseaux sociaux