Pour parvenir à un tel résultat, Google dit surveiller continuellement les nombreuses menaces potentielles, des piratages en masse (généralement utilisés pour envoyer plein de spam) aux attaques hautement ciblées, souvent avec des motivations politiques.
Selon une étude récente de Google, il y aurait 9 piratages souvent critiques par million d'utilisateurs par jour qui lui permettent d'étudier tous les types de pirates afin d'améliorer ses défenses contre tout type de piratage.
Pour cette étude, Google a analysé plusieurs sources des messages de phishing ainsi que leurs sites Web, en observant à la fois le fonctionnement des pirates et les informations sensibles qu'ils recherchent une fois qu'ils ont réussi à piraté un compte. Voici quelques-unes de ses conclusions :
- Simple mais dangereux : La plupart d'entre nous pensent que nous sommes trop intelligents pour être victimes de phishing, mais la recherche de Google
a révélé que certains faux sites Web marchent dans 45 % du temps.
En moyenne, les personnes visitant les fausses pages web soumettent volontairement 14% du temps leurs données personnelles, et même que la plupart des sites évidemment faux aux yeux de tous réussissent quand même à tromper 3 % de la population. En considérant qu'un pirate peut envoyer des millions de messages, ces taux de réussite ne sont pas à négligés.
- Rapide et efficace : Environ 20 % des comptes piratés sont accessibles dans les 30 minutes qui suivent. Une fois que les pirates arrivent à accéder à l'intérieur du compte piraté, ils y passent en moyenne 20 minutes pour souvent changer le mot de passe pour bloquer le véritable propriétaire et rechercher d'autres informations personnelles du compte telles que le compte bancaire ou les comptes de réseaux sociaux.
- Personnalisé et ciblé : Les pirates profitent de leurs intrusions pour envoyer des emails de phishing aux contacts du compte piraté. Etant donné que vos amis et votre famille pensent que l'email vient de vous, ces emails peuvent s'avérer efficaces. Les gens dans la liste des contacts des comptes piratés sont 36 fois plus susceptibles d'être à leur tour piratés.
- Apprentissage rapide : Les pirates changent rapidement leurs tactiques pour s'adapter aux nouvelles mesures de sécurité mises en place. Par exemple, dans le
cadre de cette étude, lorsque Google pose la question aux utilisateurs de répondre à des questions telles que "D'où vous vous connectez ?" lors d'une
connexion douteuse, les pirates suspectés commencent immédiatement à enregistrer le message comme s'il s'agissait d'un mot de passe.
Autant d'astuces qui auraient permis à Google d'améliorer les systèmes de sécurité des nombreux comptes internes de Google. Lesquelles améliorations servent aussi à sécuriser les comptes des utilisateurs.
- Restez vigilants : Gmail bloque la grande majorité des spam et emails de phishing, mais méfiez-vous des messages demandant des informations de connexion ou d'autres données à caractère personnel. Ne répondez jamais à ces messages mais signalez-les à Google. En cas de doute, visitez les sites Web directement (sans passer par un lien dans un e-mail) pour consulter ou mettre à jour les informations de compte.
- Récupérez rapidement votre compte : Même s votre compte n'est jamais en danger, il est important que Google ait un moyen de vous contacter afin de pouvoir confirmer votre propriété sur le compte. C'est pourquoi Google recommande fortement de fournir un numéro de téléphone mobile de secours ou une adresse email secondaire (mais assurez-vous d'abord que le compte de messagerie utilise un mot de passe fort et est mis à jour).
- Validation en deux étapes : Le service gratuit de validation en deux étapes de Google fournit une couche supplémentaire de sécurité contre tous les types de piratage de compte. En plus de votre mot de passe, vous allez utiliser votre téléphone pour prouver que vous êtes vraiment vous. Récemment, Google a aussi lancé FIDO U2F, une clé de sécurité USB qui permet de vous identifier en toute sécurité.
