Google: "Les mots de passe longs et complexes ont perdu en pertinence"

Mardi encore, Google était dans l’œil du cyclone après avoir tardé à révéler une faille informatique ayant exposé pendant trois ans les données personnelles d’un demi-million de comptes Google +, du nom de sa tentative de réseau social aujourd’hui sur le déclin.

"Nous avons examiné le type de données impliquées, s’il était possible d’identifier précisément les utilisateurs pour les informer du problème, s’il y avait eu une possible utilisation frauduleuse, voire si des actions correctives pouvaient être entreprises par un développeur ou un utilisateur. Aucun de ces éléments n’a pu être retenu", s’est rapidement défendu le géant américain, par la voix de son porte-parole.

Un coup dur pour l’image de la firme de Mountain View, malgré sa justification. En effet, ce nouveau développement relance les interrogations sur les pratiques des réseaux sociaux et autres grands noms du web, quelques jours seulement après la révélation par Facebook d’un piratage ayant affecté quelque… 50 millions de ses comptes courant du mois dernier.

L’heure est donc au constat: même les géants du net ne sont aujourd’hui plus en mesure de garantir la sécurité totale de leurs utilisateurs, les différents exemples récents n’ayant pas manqué. Dès lors, se pose une simple question: que faire pour se prémunir, lorsque l’on est presque obligé de subir?

Pour ce qui touche à la sécurisation des services de manière générale, à part la participation a posteriori à des actions collectives de l’ordre de celle de Test-Achats dans l’affaire Cambridge Analytica (87 millions de comptes Facebook touchés), seul le laisser-faire s’offre sur ce point pour le consommateur. En sachant, bien sûr, que les autorités des protections des données (APD) nationales, nées de l’entrée en vigueur le 25 mai du Règlement général sur la protection des données (RGPD), se chargeront derrière des coups de bâton, avec des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour les plus mauvais élèves de la classe en matière de protection des données.

3 milliards de mots de passe dans la nature

Par contre, au niveau individuel (et personnel), il est possible de se protéger quelque peu. Et afin d’obtenir des conseils, L’Echo a rencontré Mark Risher, alias le "Monsieur mot de passe" de Google, en charge de la sécurité et de la confidentialité des Gmail, YouTube, Google Drive, Google Calendar, et autres services de la galaxie Google.

À peine assis, nous le lançons sur les violations de données, sujet particulièrement sensible en ce moment. L’homme embraie. "En utilisant récemment notre moteur de recherche pour passer en revue le web, nous avons trouvé plus de 3 milliards de noms d’utilisateurs et mots de passe en quelques semaines à peine. Et ce sur le web public uniquement", signe des importants ravages causés par les différentes fuites de l’histoire.

Un vrai problème car "17% des mots de passe de manière générale sont en fait réutilisés entre différents sites internet", avance le spécialiste, sur la base d’une étude du géant américain. En bref, de multiples clés à des services non-piratés circulent dans la nature. Ce qui amène l’homme à dire que "le conseil de sécurité que vous avez toujours entendu, à savoir d’avoir un mot de passe long et complexe, composé de majuscules, de symboles, de chiffres et de ponctuation, tout cela n’a plus d’importance. Car en cas de violation sur un site en particulier, de par la propagation dans le domaine public de ces données à un moment donné, cette couche de protection tombe partout au final".

C’est pourquoi, s’il a bien un conseil à donner, c’est de privilégier des mots de passe générés aléatoirement par exemple, voire longs et complexes mais différenciés à chaque fois. Comment s’y retrouver, demanderez-vous? Simple. En utilisant un gestionnaire de mots de passe, soit un petit logiciel crypté qui garde précieusement vos codes au même endroit. Du reste, conscients du problème, les grands sites ont eux mis en place différents mécanismes agissant en seconde ligne de défense. Ils vous demandent d’introduire un code reçu par SMS ("two-factor authentification", dans le jargon, spécialité de l’entreprise TeleSign, rachetée l’an passé par Proximus) ou de répondre "oui" ou "non" à partir d’une notification sur votre smartphone par exemple, en plus de vérifier si la demande de connexion n’est pas faite depuis une région tout à fait différente à celle où vous vous trouvez habituellement, ou si des codes malicieux ne sont pas actifs.

Données déjà compromises, dix fois plus à risque

Assez? Le problème est plus profond. "Dès lors que vos données figurent dans ces ‘credential dumps’, vous vous exposez à 10 fois plus de tentatives de violation que la normale", avance le directeur. Vous devenez une cible alléchante.

Et pour cause, forts de ce puits de données, les hackers ont développé des stratégies nouvelles, explique Mark Risher, dans ce qu’il qualifie de "spear phishing". Il s’explique: "Il s’agit d’attaques bien plus spécifiques dans lesquelles un pirate décide de s’en prendre à une personne en particulier, préidentifiée comme méritant son temps. Il va alors réaliser un travail de recherche en amont sur l’individu concerné, que ce soit via les réseaux sociaux, dans les registres publics ou dans la presse, voire même au sujet de son entourage. De là, il pourra alors confectionner un message sur-mesure à lui adresser."

Pas convaincu de la dangerosité du phénomène? Prenons un exemple. Via une fuite de données, un hacker obtient les trois derniers chiffres de votre carte de banque. En surfant sur votre compte Twitter, il voit que vous avez récemment interpellé ladite banque pour un problème x ou y avec votre carte. De là, il peut alors vous contacter en commençant par un "Cher Monsieur un tel, votre carte se terminant par 9332 a pu être compromise, alerte Mark Risher. Ce qui rend le message bien plus crédible qu’autrefois." Alors, certes, tout le monde ne tombera pas dans le panneau, mais "la probabilité d’être exposé à des violations de données grandit alors de 500 fois", précise le responsable. Rien que par cette personnalisation.

D’où l’importance, en amont, d’une protection toujours plus importante, afin d’éviter les fuites dans la nature de données particulièrement sensibles, peut-on conclure. Un combat à mener de la part des géants du web, tout d’abord, des régulateurs, ensuite, et, enfin, des utilisateurs eux-mêmes. Chaque maillon est clé ici.