Comment savoir si le site web que vous fréquentez a été piraté et que, de ce fait, votre identifiant et votre mot de passe ont été compromis ? Si vous êtes un briscard du net, vous connaissez certainement le projet « Have I been pwned ? », qui vérifie si votre adresse mail figure dans l’une des bases de données piratées dont il a connaissance — et vous dire s’il est temps de changer de mot de passe, au cas où.
Mais depuis le début de l’année, Google aussi propose un service semblable. Né sous la forme d’une extension, l’utilitaire « Password Checkup » évolue aujourd’hui en service à part entière du gestionnaire de mots de passe. Avec lui, un internaute peut vérifier si l’identifiant et le mot de passe qu’il utilise pour se connecter à un site sont compromis, par exemple à cause d’une fuite de données.
Un projet ancien
Il n’était pas certain au départ que Google décide d’intégrer le Password Checkup dans son gestionnaire de mots de passe. Comme nous l’a dit au cours d’un échange Elie Bursztein, un expert français de cybersécurité qui officie au sein de l’équipe de recherche anti-abus chez Google, il s’agissait initialement d’une idée de recherche, d’une expérimentation, dont l’accueil public était incertain.
« On a commencé une ébauche du projet vers 2014 », raconte-t-il. À l’époque, Google se trouvait dans une position fort délicate, puisque l’entreprise avait découvert une fuite de base de données contenant pas moins de 5 millions de données de connexion (identifiant et mot de passe). C’est à partir de là que Google a commencé à surveiller les fuites de ce genre, pour agir au plus vite en cas d’incident.
Le projet aura connu une longue gestation. Il faut dire que le travail est d’ampleur : outre les bases de données à collecter — « nous faisons cette surveillance nous-mêmes, sur le web, mais aussi sur d’autres réseaux, comme les darknets », fait savoir Elie Burzstein, qui tient à préciser « qu’aucune de ces archives n’est achetée à des cybercriminels » –, il a fallu faire un très lourd travail d’ingénierie.
Afin que l’alerte soit utile à l’internaute, Google a souhaité faire un contrôle parfait sur un couple « identifiant + mot de passe ». Pas question de créer la panique avec une mise en garde basée sur le seul mail, si celui-ci apparaît dans une base de données qui a été piratée, car cela ne veut pas forcément dire qu’il y a effectivement un danger en bout de course, avec un risque pour le mot de passe.
C’est là l’une des limites d’une initiative de « Have I been pwned ? ». Avec le Password Checkup, Google assure que l’avertissement qui sera émis à l’internaute constitue une vraie mise en garde, car cela voudra dire que le nom d’utilisateur et le mot de passe font partie des 4 milliards d’informations d’identification uniques que l’entreprise américaine sait être compromis.
Le site « Have I been pwned ? » est utile, mais comporte quelques limites.
L’autre volet majeur du développement de Password Checkup est, bien entendu, la confidentialité des informations manipulées et leur protection. Google sait bien qu’un faux pas dans ce domaine serait absolument catastrophique pour son image de marque : il lui faut être impeccable en la matière, en offrant les meilleures garanties techniques et en se montrant aussi transparent que possible.
C’est pour cela que l’équipe d’Elie Bursztein s’est tournée vers les cryptographes de l’université Stanford, qui sont, selon notre interlocuteur, « parmi les meilleurs au monde », pour avoir un retour du monde de la recherche sur leur projet. Une publication technique détaille ainsi l’approche qui a été suivie pour garantir que ces informations par nature très sensibles ne soient ni interceptées par un tiers ni récupérées par Google.
Reste toutefois une question : pourquoi Google a-t-il pris la décision d’intégrer son outil directement dans le gestionnaire de mots de passe ?
En faire bénéficier plus d’internautes
Plusieurs raisons viennent expliquer cette bascule : d’abord, tout le monde ne connaissait pas nécessairement l’existence de l’extension, même si plus de 650 000 internautes l’ont installée au cours des deux premières semaines de disponibilité. À l’échelle de Google, dont les services sont utilisés par des millions de gens à travers le monde, cela reste en fin de compte très peu.
Avec ce projet, Google veut permettre d’alerter très vite les internautes si des bases de données sont piratées. // Dan Tentler
Mais surtout, « il est très difficile pour une extension de gérer tous les cas de figure », glisse Elie Burzstein. Par exemple, l’extension n’est pas pertinente dans le cas où un internaute est déjà connecté à son site, même si celui-ci a été compromis, parce que celui-ci permet des sessions très longues grâce aux cookies. Or, l’extension « ne vérifie qu’au moment où l’internaute se connecte effectivement », explique-t-il.
Pour que l’outil bénéficie au plus grand nombre, un transfert paraissait donc la meilleure marche à suivre.
D’autant que selon les éléments de télémétrie anonymes que Google a analysé, ajoute notre interlocuteur, lorsque les internautes changent leur mot de passe (la réinitialisation des mots de passe de comptes compromis a concerné plus de 110 millions d’utilisateurs au cours des deux dernières années), ils ont tendance à l’améliorer, en optant pour un nouveau code plus performant. Preuve, donc, de la nécessité de faire évoluer l’outil.
Il est à noter que pour sensibiliser le grand public sur le sujet de la sécurité en ligne, y compris donc au niveau des mots de passe, Google lance courant octobre une tournée nationale dans près de 20 villes françaises.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
