Mois de la cyber-sécurité : Google veut vous aider à vérifier si votre mot de passe a été piraté ou non

par Mélinda DAVAN-SOULAS
Publié le 2 octobre 2019 à 14h21, mis à jour le 3 octobre 2019 à 23h16

Source : JT 20h WE

SECURITÉ – Alors que le mois d'octobre est celui de la cyber-sécurité, il est plus que temps de faire attention à votre vie digitale. Pour renforcer votre navigation, Google lance à cette occasion "Check-up Mots de passe", un outil pour savoir si vos mots de passe sont solides, piratés ou trop répétés.

L’angoisse de tout internaute : devoir changer son mot de passe car il a été piraté avec son adresse mail. Autant être clair et lucide : nombreux sont ceux qui diront "tant pis" et ne prendront pas le temps de le changer au risque de retrouver leurs informations personnelles dans la nature, revendues sur le dark web ou utilisées pour vous spammer.

"Depuis trois ans, nous avons noté une recrudescence de piratage de données", explique à LCI Elie Bursztein, expert en cybersécurité chez Google depuis 2011. "Notre boulot, c’est de récupérer tous les fichiers et les brèches de données sur internet. Au départ, c’était pour sécuriser Gmail. Mais nous nous sommes aperçus que cela pouvait aussi être utile au plus grand nombre".

Cinq mots de passe pour des milliers de sites

Depuis quelque temps, Google est devenu encore plus vigilant car des comptes Gmail ont souvent été compromis dans les affaires de fraudes massives à la donnée personnelle. En 2016, entre tous les scandales LinkedIn, Yahoo et autres, quelque 110 millions d’utilisateurs de Gmail avaient ainsi vu leur mot de passe réinitialisé par sécurité. Tout cela car leurs informations avaient fuité sur internet. "Nous avons réalisé que c’était un problème global majeur qui allait au-delà de Google et nous avons alors entamé une réflexion sur la manière dont nous pouvions aussi renforcer cette sécurité sans être intrusif", souligne Elie Bursztein.

Car le problème, c’est bien souvent qu’un internaute possède seulement cinq mots de passe qu’il utilise sur un nombre plus importants de sites. Une combinaison piratée et c’est donc plusieurs dizaines de sites qui peuvent être accessibles avec ces informations. Jusqu’à présent, pour savoir si votre adresse mail et votre mot de passe avaient été compromis dans une cyberattaque, il y avait des sites comme Have I Been Pwned ?. Mais ce dernier est avant tout informatif après coup, si vous allez vous renseigner. Car généralement, une fois vos informations de connexion récupérées par des personnes mal intentionnées, vous ne réalisez que trop tard. 

Check-up Mots de passe, un outil pour savoir si votre mot de passe est solide

Alors, les équipes de cybersécurité chez Google ont cherché un moyen de sécuriser la vie privée en ligne des utilisateurs sans s’y immiscer. "Il fallait trouver un outil qui soit utile, facile à utiliser et garantisse le respect de la vie privée. Car personne n’a envie de penser que Google va avoir tous ses mots de passe", ajoute l’ingénieur assurant qu’"ici, ce n’est pas le cas." Le protocole  a été mis au point avec l’université de Stanford, en Californie, et d’autres partenaires pour montrer la volonté de "collaboration et bienveillance" du projet pour Google.

Dans les outils mis à disposition par Google, il y a déjà le Checkup Sécurité de Mon Compte qui détecte automatiquement les problèmes de sécurité potentiels liés à votre compte. Il permet de renforcer la protection de menaces, de supprimer d’anciens appareils ou applications qui ont accès à votre compte. Mais il ne s’attardait pas sur le piratage possible de mots de passe.

Voici donc Check-up Mots de passe, un protocole qui vient s’ajouter au Gestionnaire de mot de passe de Google pour renforcer la sécurité. Il s’agissait jusque-là d’une extension qui pouvait être ajoutée au navigateur Chrome et permettait de savoir sur un site spécifique si vos informations de connexion étaient toujours sécurisées ou non. Le géant de l’internet étend donc cette sécurité afin de connaître cette information pour tous les mots de passe que vous avez enregistrés dans le gestionnaire. 

Comment utiliser Check-up Mots de passe ?

Il s'agit d'un site internet sécurisé. Pour pouvoir réaliser la vérification, il faut déjà que vous ayez enregistré et synchronisé vos mots de passe à l’aide du Gestionnaire de mot de passe.

- Rendez-vous ensuite sur le site passwords.google.com.

- Allez dans "Check-up Mots de passe" et lancez la vérification : vous avez alors connaissance du nombre de mots de passe qui ont été piratés, que vous utilisez ou qui paraissent peu sécurisés.

- Vous pouvez alors choisir d’afficher, mettre à jour ou supprimer le mot de passe. 

Attention : mettre à jour le mot de passe ne le change que dans le Gestionnaire et pas sur votre compte en ligne. De même, "supprimer" ne le supprime pas du site concerné, mais seulement de la base de données du gestionnaire. Cela ne vous permettra plus de vous connecter facilement au site via Google.

- Vous pouvez alors vous rendre sur le site concerné pour effectuer les modifications.

Google

"Un jour, le mot de passe sera quelque chose du passé"

"Un jour, le mot de passe sera quelque chose du passé", prophétise Elie Bursztein. "Mais il faut, en attendant, que les gens apprennent à être plus vigilants. Avec Check-up Mots de passe, nous voulons proposer une solution facile à utiliser. Et surtout, dévaluer la valeur des bases de données mails-mots de passe qui sont revendues sur le dark web. Car en changeant les mots de passe compromis dans des cyberattaques, les utilisateurs rendent cela sans valeur."

Ce système, tout sécurisé soit-il, ne permet cependant pas d’écarter toute menace. Check-up Mots de passe reste en effet essentiellement un outil informatif. Aujourd’hui, seulement 12% des internautes ont recours à des gestionnaires sécurisés de mots de passe comme 1Password, Dashlane ou KeePass. Des outils qui protègent votre navigation en centralisant tous les mots de passe en un seul endroit et de remplir les formulaires de manière ultra-sécurisée. La sécurité à double facteur d’authentification (mail/mot de passe + SMS, ou numéro de téléphone ou clé)  est aussi un moyen de sécuriser son mot de passe. "C’est souvent trop fastidieux pour beaucoup de gens", regrette Elie Bursztein qui souhaiterait déjà que la sécurité de base passe par un principe idéal : un site, un mot de passe.

A noter que, pour sensibiliser le grand public sur ce sujet, Google lance dès la semaine prochaine une tournée nationale dans près de 20 villes françaises sur la sécurité des familles en ligne. 


Mélinda DAVAN-SOULAS

Tout
TF1 Info