En publiant Password Alert, une extension pour le navigateur Chrome, Google met à disposition des utilisateurs de Gmail un outil d’alerte au sujet de leur mot de passe.
Le phishing est actuellement l’un des problèmes de sécurité les plus graves qui concernent les internautes. C’est par ce biais que les hackers arrivent obtenir des données personnelles, notamment bancaires comme des numéros de carte de crédit. Google estime que jusqu’à 45% des e-mails de phishing agissent avec succès, et que cela concerne 2% des utilisateurs de Gmail.
C’est pour combattre ce problème d’une autre manière que Google a lancé mercredi Password Alert, une nouvelle extension pour le navigateur Chrome.
Son but est de signaler à l’internaute qu’il va taper son mot de passe Gmail sur un site qui n’a pas une connexion réelle avec Google. Avec l’extension Password Alert, si cela devait arriver, l’outil vous affichera immédiatement un message d’alerte et vous propose immédiatement de remettre à jour votre mot de passe.
Pour les utilisateurs en entreprise, l’extension peut même être configurée pour alerter automatiquement l’équipe de réponse aux incidents de la société.
« En matière de sécurité, nous attendons des utilisateurs qu’ils tapent leur mot de passe là où ils sont autorisés à le faire sur accounts.google.com, mais pas sur accountsgoogle.com », explique Drew Hintz, ingénieur de sécurité Google. « Cela aide à prendre la décision de savoir si l’endroit où vous venez de taper votre mot de passe était un bon endroit pour le taper ou pas ».
Password Alert s’attaque par ailleurs à un autre gros problème de sécurité, la réutilisation du même mot de passe pour plusieurs services internet. Si l’utilisateur tente de s’inscrire à n’importe quel autre site avec le même mot de passe que celui de Gmail, le dispositif de sécurité va déclencher une alerte. Bien qu’il ne s’agira pas de phishing dans ce cas précis, les alertes incessantes de ce genre devraient finalement pousser l’internaute à différencier ses mots de passe.
Drew Hintz explique que Google lui-même a dû faire face à des attaques de phishing. Cela a démontré que le phishing est une vulnérabilité que « vous ne pouvez pas patcher ». Pendant trois ans, une extension Chrome a été utilisée en internet pour alerter au sujet de l’utilisation des mots de passe. S’étant avérée efficace, Google a décidé d’en faire profiter tous les utilisateurs.
L’ingénieur en sécurité préciser également que de nouvelles versions de Password Alert sont d’ores et déjà prévues, des versions qui pourront contrôler d’autres mots de passe, comme ceux des comptes bancaires ou de l’entreprise.
Alors que Google propose déjà de l’authentification à deux facteurs pour protéger ses utilisateurs, l’arrivée de Password Alert est une couche supplémentaire de protection des utilisateurs de Gmail.
Drew Hintz précise encore que Password Alert est une extension open source qui est disponible sur Github afin d’être facilement transposable à d’autres navigateurs.