Google étend son utilitaire de vérification de mots de passe sur Android. En cas de fuite d'une base de données sur le net, l'alerte pourra arriver directement sur le smartphone, et ainsi permettre d'agir plus rapidement encore pour se protéger.

Il est courant de dire que dans la chaîne de sécurité informatique, l’internaute est le maillon faible : il clique sur des liens suspects dans des mails, il utilise trop souvent le même mot de passe (faible) pour s’inscrire sur des sites, il livre trop d’informations personnelles, ou il se rend sur des sites peu recommandables. Pour autant, l’accabler n’est sans doute pas la meilleure chose à faire.

La pédagogie et l’accompagnement sont certainement préférables, quitte à prendre l’usager par la main. Google a choisi cette voie avec son utilitaire dédié aux mots de passe, baptisé Password Checkup. Celui-ci a plusieurs mérites : il analyse la qualité des mots de passe pour repérer ceux qui sont trop faibles, mais aussi prévient s’ils sont réutilisés entre plusieurs comptes de l’internaute.

Mais surtout, le Password Checkup est capable d’émettre une alerte si une brèche de sécurité a eu lieu et a eu pour conséquence une fuite d’identifiants de connexion (comme l’adresse e-mail et le mot de passe). Google, grâce à son importante présence sur le web, est capable de déployer des vigies pour repérer et analyser les bases de données qui se retrouvent dans la nature.

Le Password Checkup arrive dans Android

Le Password Checkup était déjà intégré au niveau de l’environnement de bureau. Il arrive maintenant au niveau du mobile. Le 23 février, Sundar Pichai, le patron de Google, a fait savoir que cet utilitaire arrive sur Android, de façon à prévenir les particuliers directement sur le smartphone si un mot de passe qui est utilisé pour se connecter à une application a été compromis.

Ce déploiement sur mobile est notable à plus d’un titre : d’abord, Android est le système d’exploitation le plus répandu, avec une part de marché gravitant autour de 80 %. De ce fait, le Password Checkup est susceptible de profiter à un grand nombre de personnes le jour où il y aura un incident de sécurité. Ensuite, il étend un outil que Google propose déjà dans l’environnement de bureau, uniformisant ainsi l’expérience utilisateur.

Mais surtout, l’arrivée du Password Checkup sur mobile pourrait avoir comme heureuse conséquence d’alerter beaucoup plus vite les internautes et, par conséquent, de les voir agir beaucoup plus vite en cas de fuite de leur mot de passe. Le smartphone est en effet un objet que les particuliers ont désormais quasiment tout le temps avec eux, au point de les accompagner du levée jusqu’au coucher.

Le Password Checkup était proposé au départ comme extension. // Source : Google

Ainsi, quand un mot de passe est saisi dans une application mobile, Google vérifie s’il apparaît dans une liste de mots de passe compromis. Si c’est le cas, une alerte est émise et Google propose de vérifier le mot de passe et de le modifier. Cette vérification se fait en comparant les empreintes des mots de passe, de sorte que Google ne les voit jamais directement, pour des raisons évidentes de confidentialité.

L’outil de Google nécessite de satisfaire deux conditions : l’utilisation de la fonction de remplissage automatique de Google (ce qui nécessite d’enregistrer ses mots de passe dans le coffre-fort dédié mis à disposition par Google, et à partir duquel Google peut non seulement proposer ce remplissage automatique, mais aussi procéder à ses techniques de comparaison d’empreintes), et l’emploi d’Android 9.

Android 9 n’est certes pas la version d’Android la plus récente, car elle est sortie déjà depuis 2018, mais de fait cette décision prive les mobinautes qui utilisent des moutures plus anciennes du système d’exploitation de cette fonctionnalité . Cette mise à l’écart est toutefois amenée à disparaître avec le temps, à mesure que les usagers migreront vers des O.S. plus récents. En outre, ils sont plutôt minoritaires.

Il est à noter qu’une alerte émise par Google dans le cadre du Password Checkup n’est pas forcément le signe que votre compte est effectivement piraté, mais que les codes d’accès y menant sont dans la nature et qu’un tiers malveillant pourrait finir par les prendre et les exploiter. Dans tous les cas de figure, si une notification apparaît, il n’y a aucune question à se poser : le mot de passe doit être changé.

Partager sur les réseaux sociaux

La suite en vidéo