Google propose l'extension « Alerte mot de passe »
Pour vous aider à lutter contre les attaques de type phishing
Le 2015-04-30 18:09:44, par Stéphane le calme, Chroniqueur Actualités
Google propose aux utilisateurs de son navigateur une extension qui a pour objectif de les protéger des attaques de type phishing (hameçonnage) où une page de connexion tente de se faire passer pour une page de connexion Google légitime afin de voler un mot de passe. « Alerte mot de passe » fait exactement ce que son nom suggère ; Google explique que la saisie de votre mot de passe Gmail ou Google Apps for Work sur un site n'appartenant pas à Google déclenche l'outil Alerte mot de passe.
« Vous recevez une alerte à chaque première utilisation du mot de passe pour un autre compte. Vous pouvez soit réinitialiser le mot de passe, soit ignorer l'alerte pour ce compte. Les utilisateurs de Gmail ont la possibilité de désactiver toutes les alertes d'un site Web donné », assure Google. Si vous utilisez le même mot de passe sur plusieurs comptes et qu'un compte vient à être piraté, il y a de grandes chances pour que les personnes à l'origine du piratage tentent de se connecter à vos autres comptes avec le mot de passe qu'ils ont découvert, prévient Mountain View.
De plus, l’extension essaie également de détecter les fausses pages de connexion Google, afin de vous alerter avant que vous n'ayez saisi votre mot de passe. Pour ce faire, Alerte mot de passe vérifie le code HTML de chaque page à laquelle vous accédez pour voir si elle se fait passer pour une page de connexion Google.
Pour la mise en œuvre, l’extension va créer une empreinte sécurisée de votre mot de passe à la première saisie. Cette empreinte sera par la suite comparée à une empreinte de vos dernières frappes sur Chrome. Si vous vous demandez si Alerte mot de passe enregistre votre mot de passe ou vos frappes, Google explique que non ; seule l’empreinte sécurisée de votre mot de passe est enregistrée et elle sera comparée à une empreinte de vos dernières frappes sur clavier. « Chaque fois que vous vous connectez à votre compte Google, l'extension accède temporairement à votre mot de passe et en enregistre une empreinte numérique (séquence de bits réduite) avec salage sur votre stockage Chrome local. Cette empreinte est ensuite comparée à chaque mot de passe que vous saisissez sur un site Web autre que accounts.google.com ».
Alors où vont vos données ? Dans le cas où vous utilisez Alerte mot de passe avec un compte Gmail, aucune donnée ne sera envoyée depuis votre ordinateur local. Dans le cadre de l’entreprise, Moutain View explique que si votre administrateur Google for Work déploie Alerte mot de passe sur l'ensemble de votre domaine, il va recevoir des alertes lorsqu'Alerte mot de passe est déclenché.
Pour ceux qui se demandent les différences qui existent entre cet outil et les fonctionnalités de navigation sécurisée incluses dans Chrome, Google avance que Chrome tente de détecter les pages d'hameçonnage en amont, mais il peut arriver qu'une fausse page de connexion passe entre les mailles du filet. L’outil Alerte mot de passe quant à lui détecte toute saisie de votre mot de passe sur un site Web autre que "accounts.google.com" (ou, pour les domaines Google for Work, autre que les sites Web ajoutés à la liste blanche par l'administrateur).
Google estiment à 2% des messages Gmail qui correspondent à des pratiques s’apparentant au phishing, cherchant à piéger les utilisateurs pour les convier à donner leurs mots de passe, ce qui correspond à des millions de courriels. Pour l'instant, Password Alert est uniquement disponible en tant qu'extension du navigateur Chrome. Google n’a pas précisé s’il comptait rendre l’application disponible sur d’autres plateformes.
Source : blog Google
Et vous ?
« Vous recevez une alerte à chaque première utilisation du mot de passe pour un autre compte. Vous pouvez soit réinitialiser le mot de passe, soit ignorer l'alerte pour ce compte. Les utilisateurs de Gmail ont la possibilité de désactiver toutes les alertes d'un site Web donné », assure Google. Si vous utilisez le même mot de passe sur plusieurs comptes et qu'un compte vient à être piraté, il y a de grandes chances pour que les personnes à l'origine du piratage tentent de se connecter à vos autres comptes avec le mot de passe qu'ils ont découvert, prévient Mountain View.
De plus, l’extension essaie également de détecter les fausses pages de connexion Google, afin de vous alerter avant que vous n'ayez saisi votre mot de passe. Pour ce faire, Alerte mot de passe vérifie le code HTML de chaque page à laquelle vous accédez pour voir si elle se fait passer pour une page de connexion Google.
Pour la mise en œuvre, l’extension va créer une empreinte sécurisée de votre mot de passe à la première saisie. Cette empreinte sera par la suite comparée à une empreinte de vos dernières frappes sur Chrome. Si vous vous demandez si Alerte mot de passe enregistre votre mot de passe ou vos frappes, Google explique que non ; seule l’empreinte sécurisée de votre mot de passe est enregistrée et elle sera comparée à une empreinte de vos dernières frappes sur clavier. « Chaque fois que vous vous connectez à votre compte Google, l'extension accède temporairement à votre mot de passe et en enregistre une empreinte numérique (séquence de bits réduite) avec salage sur votre stockage Chrome local. Cette empreinte est ensuite comparée à chaque mot de passe que vous saisissez sur un site Web autre que accounts.google.com ».
Alors où vont vos données ? Dans le cas où vous utilisez Alerte mot de passe avec un compte Gmail, aucune donnée ne sera envoyée depuis votre ordinateur local. Dans le cadre de l’entreprise, Moutain View explique que si votre administrateur Google for Work déploie Alerte mot de passe sur l'ensemble de votre domaine, il va recevoir des alertes lorsqu'Alerte mot de passe est déclenché.
Pour ceux qui se demandent les différences qui existent entre cet outil et les fonctionnalités de navigation sécurisée incluses dans Chrome, Google avance que Chrome tente de détecter les pages d'hameçonnage en amont, mais il peut arriver qu'une fausse page de connexion passe entre les mailles du filet. L’outil Alerte mot de passe quant à lui détecte toute saisie de votre mot de passe sur un site Web autre que "accounts.google.com" (ou, pour les domaines Google for Work, autre que les sites Web ajoutés à la liste blanche par l'administrateur).
Google estiment à 2% des messages Gmail qui correspondent à des pratiques s’apparentant au phishing, cherchant à piéger les utilisateurs pour les convier à donner leurs mots de passe, ce qui correspond à des millions de courriels. Pour l'instant, Password Alert est uniquement disponible en tant qu'extension du navigateur Chrome. Google n’a pas précisé s’il comptait rendre l’application disponible sur d’autres plateformes.
Source : blog Google
Et vous ?
-
Si cela peut éviter le pishing, c'est une bonne initiative. Même si j'ai tendance à me méfier de Google par défaut...le 30/04/2015 à 18:35
-
TiranusKBXExpert confirmé@NotNow c'est surtout limité aux services de google, donc il ne font que se protégerle 30/04/2015 à 19:52
-
SaverokExpert éminentSi ça peut éveiller quelques prises de conscience, c'est déjà bien
Même si je pense, malheureusement, que la très grande majorité des personnes, pourtant les plus concernées, passeront à côté" de se service sans même le regarder et encore moins tenter de la comprendre...le 04/05/2015 à 11:04 -
mahdimaaroufiMembre à l'essaiBonjour, je cherche à apprendre comment développer une extension pour le navigateur web firefox.
pouvez vous me donner un tuto ou un exemple afin de me faciliter la tache ?
mercile 12/05/2015 à 12:38 -
Oui, un très bon lien ici si tu veux, tu trouvera toutes les infos utiles :http://urlz.fr/1WRc !le 12/05/2015 à 13:41
-
mahdimaaroufiMembre à l'essaimerci beaucoup
je vais le voir le 12/05/2015 à 13:46