GSuite : sécurité, quelle est l’efficacité de l’hygiène de base des comptes pour prévenir le détournement
Traduction d’un article du 17 mai 2019, publié par Kurt Thomas et Angelika Moscicki.Chaque jour, Google protège les utilisateurs contre des centaines de milliers de tentatives de piratage de compte. La plupart des attaques proviennent de robots […]
GSuite : sécurité, quelle est l’efficacité de l’hygiène de base des comptes pour prévenir le détournement
Traduction d’un article du 17 mai 2019, publié par Kurt Thomas et Angelika Moscicki.
Chaque jour, Google protège les utilisateurs contre des centaines de milliers de tentatives de piratage de compte. La plupart des attaques proviennent de robots automatisés ayant accès à des violations de mot de passe tiers, mais Google constate également des attaques par phishing et ciblées. Un peu plus tôt cette année, la firme nous avait expliqué que cinq étapes simples, comme l’ajout d’un numéro de téléphone de récupération, pouvaient vous aider à rester en sécurité, mais Google souhaite le prouver dans la pratique.
Les ingénieurs ont collaboré avec des chercheurs de l’Université de New York et de l’Université de Californie à San Diego pour déterminer à quel point l’hygiène de base des comptes est efficace pour prévenir le détournement d’avions. L’étude d’une année sur les attaques à grande échelle et les attaques ciblées, a été présenté mercredi lors d’un rassemblement d’experts, de décideurs et d’utilisateurs appelé The Web Conference .
Les recherches montrent que le simple ajout d’un numéro de téléphone de récupération à votre compte Google peut bloquer jusqu’à 100% des robots automatisés, 99% des attaques de phishing en masse et 66% des attaques ciblées survenues au cours d’une enquête.
Protection automatique et proactive contre le piratage de Google
Google fournit une couche de sécurité automatique et proactive afin de mieux protéger tous les utilisateurs contre le détournement de compte. Voici comment cela fonctionne: si une tentative de connexion suspecte est détectée (par exemple, à partir d’un nouvel emplacement ou d’un nouvel appareil), Google vous demandera une preuve supplémentaire que c’est vraiment vous. Cette preuve peut confirmer que vous avez accès à un téléphone de confiance ou répondre à une question dans laquelle vous seul connaissez la réponse correcte.
Si vous êtes connecté à votre téléphone ou avez configuré un numéro de téléphone de récupération, Google peut fournir un niveau de protection similaire à celui de la vérification en 2 étapes via des défis basés sur l’appareil. Google a constaté qu’un code SMS envoyé à un numéro de téléphone de récupération permettait de bloquer 100% des robots automatisés, 96% des attaques de phishing en masse et 76% des attaques ciblées. Les invites sur l’appareil , un remplacement plus sûr des SMS, ont permis d’éviter 100% des robots automatisés, 99% des attaques de phishing en masse et 90% des attaques ciblées.
Les défis basés sur les appareils et sur les connaissances aident à contrecarrer les robots automatisés, tandis que les défis liés aux appareils aident à contrecarrer l’hameçonnage et même les attaques ciblées. Si vous ne disposez pas d’un numéro de téléphone de récupération, la firme risque de vous rabattre sur les défis plus faibles basés sur les connaissances, tels que le rappel de votre dernier lieu de connexion. C’est une défense efficace contre les robots, mais le taux de protection contre le phishing peut descendre à 10%. La même vulnérabilité existe pour les attaques ciblées. En effet, les pages de phishing et les attaquants ciblés peuvent vous amener à révéler toute information d’identification supplémentaire que Google pourrait vous demander.
Compte tenu des avantages des défis en matière de sécurité, on peut se demander pourquoi nous n’en avons pas besoin pour toutes les ouvertures de session. La réponse est que les défis introduisent des frictions supplémentaires et augmentent le risque de verrouillage de compte. Lors d’une expérience, 38% des utilisateurs n’avaient pas accès à leur téléphone lorsqu’ils étaient interpellés. Un autre, 34% des utilisateurs ne pouvaient pas se rappeler leur adresse électronique secondaire.
Si vous perdez l’accès à votre téléphone ou si vous ne parvenez pas à résoudre un problème, vous pouvez toujours revenir à un appareil approuvé auquel vous avez déjà ouvert une session pour accéder à votre compte.
S’attaquer aux attaques de type «piratage payant»
Lorsque la plupart des robots et des attaques de phishing sont bloqués par les protections automatiques de Google, les attaques ciblées sont plus pernicieuses. Dans le cadre des efforts continus pour surveiller les menaces de piratage , la firme a enquêté sur des groupes criminels émergents du type «piratage à la location» qui sont supposés ouvrir un compte unique moyennant des frais de l’ordre de 750 USD. Ces attaquants s’appuient souvent sur des courriels d’hameçonnage visant à emprunter l’identité de membres de leur famille, de collègues, de responsables gouvernementaux ou même de Google. Si la cible ne tombe pas lors de la première tentative d’hameçonnage, les attaques suivantes persistent pendant plus d’un mois.
Exemple d’attaque de phishing man-in-the-middle qui vérifie la validité du mot de passe en temps réel. Ensuite, la page invite les victimes à divulguer les codes d’authentification SMS pour accéder à leur compte. La firme de Mountain View estime qu’un seul utilisateur sur un million est confronté à ce niveau de risque. Les attaquants ne ciblent cependant pas des individus aléatoires. Les recherches montrent que les protections automatiques peuvent contribuer à retarder, voire empêcher jusqu’à 66% des attaques ciblées que nous avons étudiées, mais nous recommandons tout de même que les utilisateurs à haut risque s’inscrivent dans le programme de protection avancée . En fait, aucun utilisateur utilisant exclusivement des clés de sécurité a été victime d’un phishing ciblé au cours de cette enquête. Prenez un moment pour sécuriser votre compte comme pour boucler votre ceinture de sécurité, prenez un moment pour suivre nos cinq conseils pour aider à garder votre compte sécurisé.
Comme le montrent ces recherches, l’une des choses les plus simples à faire pour protéger votre compte Google est de configurer un numéro de téléphone de récupération. Pour les utilisateurs à haut risque, tels que les journalistes, les activistes, les chefs d’entreprise et les équipes de campagne politique, le programme de protection avancée fournit le plus haut niveau de sécurité. Vous pouvez également aider à protéger vos comptes non Google des violations de mot de passe tiers en installant l’ extension Chrome Password Checkup .
- Articles connexes
- Plus de l'auteur