» Les mots de passe sont l’une des pires choses sur Internet « , a déclaré Mark Risher, directeur principal de la sécurité des comptes, de l’identité et des abus de Google à The Verge. Bien qu’ils soient essentiels pour la sécurité et pour aider les gens à se connecter à de nombreuses applications et sites Web, « ils sont l’un des principaux moyens, sinon le principal, pour que les gens finissent par être compromis. »
C’est une chose étrange pour un responsable de la sécurité de Google de dire que la dernière fois que vous vous êtes connecté à Gmail, vous avez probablement saisi un mot de passe. Mais la société essaie depuis des années d’éloigner les utilisateurs du modèle, ou du moins de minimiser les dommages. Et dans les semaines à venir, l’un des outils les plus silencieux de Google dans ce combat — la fonctionnalité de vérification des mots de passe — obtiendra un profil plus élevé, car il rejoint le tableau de bord de vérification de sécurité intégré à chaque compte Google.
Risher a raison de s’inquiéter. Bien que vous puissiez utiliser un outil comme un gestionnaire de mots de passe pour vous aider à suivre vos connexions, beaucoup de gens finissent par réutiliser les mots de passe de nombreux comptes. Cinquante-deux pour cent des personnes réutilisent le même mot de passe pour plusieurs comptes, selon les résultats d’un sondage publié en février 2019 par Google et la firme de sondage Harris. Treize pour cent des personnes réutilisent ce mot de passe pour tous leurs comptes, selon ce sondage. Et Microsoft a déclaré en 2019 que 44 millions de comptes Microsoft utilisaient des connexions qui avaient été divulguées en ligne.
Bien que la réutilisation des mots de passe puisse être un moyen de se souvenir d’un mot, d’une phrase ou d’une combinaison complexe de lettres, de chiffres et de symboles que vous pensez que personne ne pourra jamais deviner, cette pratique peut mettre vos informations personnelles en danger. Si ce mot de passe réutilisé est divulgué dans le cadre d’une violation de données, les pirates pourraient alors avoir la clé de bon nombre de vos autres comptes en ligne — quelle que soit la complexité de l’expression.
« D’après d’autres recherches que nous avons effectuées dans le passé, les personnes qui ont vu leurs données exposées par une violation de données sont 10 fois plus susceptibles d’être détournées qu’une personne qui n’est pas exposée par l’une de ces violations », a déclaré Kurt Thomas, membre de l’équipe de recherche anti-abus et sécurité de Google.
Google essaie d’aider les utilisateurs à adopter de meilleures habitudes de mot de passe depuis un certain temps, lentement mais sûrement. Depuis des années, la société propose un gestionnaire de mots de passe intégré dans les comptes Google sur Chrome et Android qui peut enregistrer vos mots de passe et les remplir automatiquement sur des sites Web et des applications, par exemple.
Mais au cours de la dernière année, Google a également travaillé pour aider les gens à créer de meilleurs mots de passe de manière proactive avec la vérification des mots de passe. L’outil vérifie les connexions par rapport à une base de données de 4 milliards d’informations d’identification divulguées, pour voir si le mot de passe que vous saisissez correspond à celui qui a déjà été divulgué. Il a d’abord été lancé en tant qu’extension Chrome en février 2019, et Google l’a intégré dans des comptes Google en octobre et dans Chrome en décembre.
Ce n’est pas une idée nouvelle, mais Google est particulièrement bien placé pour offrir quelque chose comme la vérification des mots de passe. L’entreprise a accès à des milliards de mots de passe et à l’échelle nécessaire pour déployer la vérification des mots de passe auprès de milliards d’utilisateurs, de manière à s’intégrer aux outils de sécurité des comptes sur lesquels de nombreuses personnes comptent déjà.
Trouver comment laisser le contrôle de mot de passe signaler les informations d’identification compromises dans le respect de la vie privée était un problème technique difficile qui a nécessité un effort combiné de Google et de Stanford. Le défi consistait à trouver un moyen de vérifier automatiquement les informations d’identification d’un utilisateur par rapport à une base de données de connexions violées sans révéler ces informations à Google ni donner à l’utilisateur l’accès à l’ensemble de la base de données, tout en adaptant cette solution à l’énorme base d’utilisateurs de Google, m’ont dit des chercheurs des deux organisations.
Pour ce faire, Google stocke une version hachée et cryptée de chaque nom d’utilisateur et mot de passe connus exposés par une violation de données. Chaque fois que vous vous connectez à un compte, Google envoie une version hachée et cryptée de vos informations de connexion à cette base de données. De cette façon, Google ne peut pas voir votre mot de passe et vous ne pouvez pas voir la liste des connexions compromises connues de Google. Si Google détecte une correspondance, Google affichera une alerte vous recommandant de modifier votre mot de passe pour ce site.
Google obtient des connexions compromises de « plusieurs sources différentes et de partenaires de confiance », a déclaré Thomas, y compris des forums souterrains où les vidages de mots de passe sont ouvertement partagés. « Nous avons une politique éthique selon laquelle nous ne paierons jamais de criminels pour des données volées », a-t-il poursuivi. « Mais juste en vertu de la façon dont ces marchés fonctionnent, très souvent, vont bouillonner et devenir disponibles. »En utilisant les personas de Google sur ces marchés, l’entreprise peut acquérir les données, a-t-il déclaré.
La vérification du mot de passe a pris environ deux à trois ans entre sa création et son apparition dans de nombreux produits Google, selon Thomas. En fin de compte, Google souhaite que le contrôle de sécurité vous envoie un e-mail lorsqu’il détecte qu’une connexion stockée a été compromise lors d’une violation de données, que la société prévoit de lancer dans les mois à venir. Et plus tard cette année, Google vise à permettre aux utilisateurs d’utiliser le contrôle de mot de passe dans Chrome même s’ils ne sont pas connectés à un compte Google.
Google n’est pas la seule entreprise à proposer une sorte de fonctionnalité de vérification des mots de passe. Gestionnaire de mots de passe payant 1Password recommande de changer les mots de passe faibles ou dupliqués et propose également Watchtower, qui vérifie vos identifiants par rapport à la base de données de Troy Hunt Ai-je été Pwned de plus de 9 milliards de comptes compromis et signale les correspondances. Et Apple a annoncé hier que sa prochaine version de Safari disposera d’un outil de surveillance des mots de passe qui semble fonctionner de manière similaire à la vérification des mots de passe.
Mais Google a l’avantage d’aider les gens avec leurs mots de passe grâce à sa grande échelle. Et des outils tels que la vérification des mots de passe et le gestionnaire de mots de passe intégré atteignent un objectif plus large pour faciliter la sécurité en ligne pour les utilisateurs.
» Ce que j’aime que la sécurité soit – et ce dont je pense qu’elle est un bon exemple -, c’est : » comment facilitez-vous la tâche des gens ordinaires ? »Le vice-président de l’ingénierie de la sécurité de Google, Royal Hansen, a déclaré à The Verge. « Il ne s’agit pas de vous alerter avec de plus en plus de problèmes », a-t-il déclaré. « Il s’agit de vous faciliter la tâche, franchement, l’étape la plus élémentaire. »
Mise à jour le 23 juin, 16h06 HE: Ajout d’un contexte sur l’endroit où la vérification du mot de passe est déjà disponible.