Leur objectif : protéger les utilisateurs et utilisatrices

Nos données numériques doivent rester privées en toutes circonstances – il est d’autant plus important de les traiter consciemment et en toute sécurité. Et la responsabilité ne doit pas en incomber uniquement aux utilisateurs et utilisatrices. C’est pourquoi une grande équipe de Google s’occupe de la protection des données et de la confidentialité.

Temps de lecture : 5 minutes

« La protection des données ne doit pas être compliquée », tel est l’un des credo du travail du Google Safety Engineering Center (GSEC), dont le siège principal est à Munich. Depuis 2019, Google concentre ici une partie importante de son engagement en faveur d’une plus grande protection et d’une meilleure sécurité des données sur Internet. Par exemple, l’importante protection contre le spam et le phishing pour les comptes Gmail est en cours de développement (perfectionnement). Après tout, 95% de toutes les attaques de piratage commencent précisément par ces tentatives. La poursuite du développement d’outils dits de navigation sécurisée est également l’une des tâches du centre. Ces outils permettent aux navigateurs Internet de détecter les sites Web dangereux. Le grand objectif : protéger les données et la vie privée des utilisateurs et utilisatrices.

Les équipes nationales travaillent en étroite collaboration avec le Google Safety Engineering Center (GSEC) central. En Suisse, Tadek Pietraszek et son équipe sont chargés de protéger les utilisateurs et utilisatrices de Google contre les abus et le dénommé Hijacking, c’est-à-dire le vol de l’identité numérique d’un tiers. « Notre travail a plusieurs points forts », explique l’ingénieur logiciel avec un doctorat d’État Pietraszek. « D’une part, nous essayons de tenir les cyberattaques à l’écart des comptes d’utilisateurs. D’autre part, nous voulons aider les utilisateurs à rendre leurs comptes aussi sécurisés que possible - grâce à la sensibilisation et aux outils. »

« Les mots de passe ne doivent pas être utilisés plus d’une fois. Et nous recommandons le contrôle de sécurité en ligne de Google deux fois par an, parallèlement au nettoyage de printemps et d’automne. »

Jeroen Kemperman, expert en Hijacking Google Suisse

Une partie non négligeable de leur travail se déroule dans les coulisses, loin de notre perception quotidienne. Par exemple, chaque jour, 100 millions d’attaques de phishing sur des comptes Gmail sont évitées et plus de 15 milliards de spams sont bloqués.

Par ailleurs, Pietraszek voit encore une responsabilité sociale : « Avec nos services, nous voulons soutenir et protéger le travail des journalistes, des employés des ONG et des politiciens et politiciennes, surtout en ces temps. Outre les intérêts commerciaux portés aux données sensibles privées, ces personnes sont souvent visées par des cyberattaques », dit-il. Google a donc développé pour elles un programme de sécurité étendu. Ses fonctions de protection sont encore plus élevées que celles des utilisateurs et utilisatrices normales et sont constamment perfectionnées pour répondre aux nouvelles menaces. Par exemple, l’authentification avec deux facteurs n'est plus possible qu’avec une seule clé - dans le smartphone ou physique. L’analyse des téléchargements sur les ordinateurs et les smartphones est encore plus stricte.

Centre de sécurité : les bureaux de Google sur l’Europaallee de Zurich.

En plein dedans : une vue de Zurich depuis les bureaux de Google.

« Nous voulons également garantir nos propres normes de sécurité élevées pour les autres applications de notre système », explique Pietraszek.

« La protection des données ne doit pas être compliquée. »

Credo des travaux du Google Safety Engineering Center

Il travaille pour une protection encore plus performante des utilisateurs et utilisatrices : Jeroen Kempermann.

Réunis pour plus de sécurité

Beaucoup d’argent peut être gagné avec des données sur le Darknet. Du point de vue des criminels, les comptes de messagerie avec leurs références à des données bancaires, des documents d’identité envoyés ou des informations sensibles sur des membres de la famille ou des amis contiennent différentes approches pour des activités interdites. « Les méthodes de phishing des cybercriminels s’améliorent de plus en plus. Tous les courriels dangereux ne peuvent pas être forcément reconnus au premier coup d’œil, même par des experts », confirme l’expert en Hijacking Jeroen Kemperman de l’équipe suisse. En fait, 95% de toutes les attaques de pirates informatiques commencent par une tentative de phishing. Si vous voulez avoir un aperçu petit mais fiable de la perfidie du Phishing, vous devriez regarder le quiz Google sur l’hameçonnage Ici, les utilisateurs et utilisatrices peuvent tester dans quelle mesure ils reconnaissent les faux courriels. Afin de se tenir au courant des dernières méthodes de phishing, l’équipe Google est en contact régulier avec des experts et expertes du monde entier – tant au sein de l’entreprise qu’avec des partenaires industriels et universitaires. Cet échange est également important pour convenir de normes de sécurité fiables au-delà des frontières des fournisseurs. « Dans le cadre de l’Alliance FIDO, par exemple, nous développons des normes d’authentification sécurisées sans mots de passe avec plus de 250 autres entreprises du secteur de la technologie », déclare Kemperman.

Après tout, la plupart des gens utilisent des applications numériques très différentes avec des interfaces vers des systèmes très différents. Google a trouvé sa propre stratégie pour cela. « Nous voulons également garantir nos propres normes de sécurité élevées pour les autres applications de notre système », explique Pietraszek. Par exemple, la technologie Safe Browsing protège près de quatre milliards d'appareils dans le monde. Pour rendre Internet plus sûr pour tous, Google met la technologie gratuitement à disposition d’autres entreprises par le biais de leurs navigateurs. Elle est utilisée, par exemple, par les navigateurs Safari d'Apple et Mozilla Firefox. De plus, toutes les applications et plugins pour Google Chrome ou le système d’exploitation Android doivent subir un audit de sécurité strict. De nombreux partenaires de coopération proposent également à leurs utilisateurs et utilisatrices de se connecter avec un compte Google. L’avantage est que Google, avec sa grande équipe de cybersécurité, est toujours responsable de la sécurité des données. Ceci est particulièrement intéressant pour les petits fournisseurs et fournisseuses.

Un mot de passe à lui seul protège à peine

Bien sûr, les mesures de sécurité ne sont qu’une partie de la solution. « Nous voulons également éduquer les utilisateurs à assumer la responsabilité de la sécurité des données et leur fournir des outils de sécurité faciles à utiliser », déclare Kemperman. Par exemple, l’expert en Hijacking conseille de ne jamais utiliser le même mot de passe sur plusieurs sites Web. Il est préférable de créer et d’enregistrer des mots de passe forts à l’aide du dénommé gestionnaire de mots de passe. De plus, les paramètres du compte et les mots de passe enregistrés doivent être vérifiés à l’aide du contrôle de sécurité en ligne de Google – par exemple, parallèlement au nettoyage de printemps et d’automne.

« Notre travail a plusieurs points forts », explique l’ingénieur logiciel avec un doctorat d’État Pietraszek. « D’une part, nous essayons d’éloigner les cyberattaques des comptes d’utilisateurs. D’autre part, nous voulons aider les utilisateurs à rendre leurs comptes aussi sécurisés que possible - grâce à la sensibilisation et aux outils. »

Toutefois : selon Kemperman, un mot de passe seul ne suffit plus. En plus des mesures de protection créées pour tous les comptes, Google a automatiquement activé l’authentification à deux facteurs dans le compte Google pour environ 150 millions d’utilisateurs et utilisatrices en 2021. Elle fonctionne avec un numéro de téléphone portable, par exemple. Selon Google, cela réduit de moitié le risque d’être piraté. En cas d’urgence, il existe également un canal de communication entre le service de sécurité de Google et les utilisateurs et utilisatrices. Une partie importante de la protection de compte Google consiste à surveiller de près les activités inhabituelles sur le compte utilisateur, telles que la connexion avec un nouvel appareil ou la modification du mot de passe. « Nous envoyons un court message demandant si tout va bien avec cette activité. Si un problème survient, un clic suffit pour déclencher des contre-mesures », décrit Pietraszek.

Ici aussi, l’équipe de Google à Zurich est un partenaire important des utilisateurs et utilisatrices. Par exemple, cela aide à la récupération de compte et à la modification de tous les mots de passe. Dans le même temps, Google attire l’attention sur le soutien des autorités. « Être victime d’un Hijacking de compte n’est pas une honte. Nous devrions donc être d’autant plus ouverts à ce sujet », déclare l’expert en sécurité. Et dans le pire des cas, cela implique également de faire appel au service informatique de l’employeur, à la famille, mais aussi à la banque et à la police, et ainsi de prendre des précautions contre une utilisation abusive de données confidentielles.

Photos: Marvin Zilm