Archives par mot-clé : Sécurité en ligne

Protection en temps réel

Google s’apprête à mettre à jour sa fonctionnalité de navigation sécurisée afin de renforcer une protection en temps réel contre les logiciels malveillants et le phishing à tous les utilisateurs de Chrome.

Depuis son lancement en 2005, la navigation sécurisée de Google a constamment évolué pour mieux protéger ses utilisateurs contre les menaces en ligne comme le phishing, les logiciels malveillants et les programmes indésirables. Grâce à l’utilisation de l’intelligence artificielle, Google a introduit un mode de protection améliorée pour ceux qui recherchent une sécurité proactive, permettant une analyse en profondeur des fichiers téléchargés.

La version standard actuelle de Safe Browsing vérifie les sites, les téléchargements et les extensions contre une liste locale d’URL malveillantes mise à jour toutes les 30 à 60 minutes. Avec cette mise à jour, Google prévoit de passer à une vérification des sites en temps réel, une mesure qui vise à contrer les sites malveillants éphémères, apparus et disparus en moins de dix minutes.

L’impact global de la navigation sécurisée

La navigation sécurisée protège déjà plus de 5 milliards d’appareils à travers le monde, offrant des avertissements sur plus de 3 millions de menaces potentielles chaque jour. Avec la vérification en temps réel des sites, Google espère augmenter l’efficacité de sa protection contre les attaques de phishing de 25 %.

La nouvelle fonctionnalité, qui sera lancée d’abord pour Android, intègre des méthodes de cryptage et de préservation de la confidentialité pour que vos visites sur le web restent anonymes, même vis-à-vis de Google. Cette confidentialité est assurée par une nouvelle API utilisant Fastly Oblivious HTTP (OHTTP), qui masque les URL visitées et mélange les données des utilisateurs pour une sécurité renforcée.

Le fonctionnement technique de la protection de la confidentialité

Les URL, partiellement hachées, sont envoyées à la navigation sécurisée via un serveur OHTTP qui cache les adresses IP et mélange les hachages avec ceux d’autres utilisateurs. Ce processus est renforcé par le cryptage des préfixes de hachage avant leur transmission, garantissant que seuls les serveurs de vérification d’URL de Google peuvent les décrypter.

Le serveur de confidentialité, crucial pour la préservation de l’anonymat des utilisateurs, est géré indépendamment par Fastly. Cette gestion assure que Google n’a accès à aucune donnée d’identification personnelle, comme les adresses IP ou les agents utilisateurs, lors des vérifications de sécurité.

Cette mise à jour de la navigation sécurisée par Google marque un tournant significatif dans la lutte contre les menaces en ligne, offrant une protection en temps réel tout en préservant la confidentialité des utilisateurs. C’est une évolution prometteuse pour la sécurité sur internet, renforçant la position de Chrome comme navigateur de choix pour des millions d’utilisateurs à travers le monde.

Sécurité en ligne, il faut s’inspirer de la prévention routière !

L’utilisation des mots de passe sur internet ressemble étrangement aux comportements des automobilistes dans les années soixante, heureusement depuis, ils se sont améliorés grâce aux campagnes de sensibilisation. Il serait temps que tous les acteurs qui gèrent les mots de passe prennent exemple sur la sécurité routière, y compris l’état.

Il y a vingt ans, nous n’utilisions pas Internet. Aujourd’hui, nous passons en moyenne quatre heures par jour à surfer sur le web (étude wearesocial). C’est un nouveau territoire que nous découvrons souvent avec enthousiasme car il nous permet de gagner en productivité, de rencontrer des gens, de voyager plus facilement…Mais il y a des risques associés à ces usages. Nous nous identifions et stockons des données sur des dizaines de sites souvent sans prendre de précautions particulières. Selon une étude Dashlane/IFOP, seuls 9% des français ont ainsi conscience de prendre des risques en utilisant le même mot de passe sur plusieurs sites ! Nous prêtons donc le flanc à l’industrie du piratage qui se développe aussi vite que les technologies de l’information. Une étude menée par un éditeur de logiciels antivirus a estimé que l’industrie de la cybercriminalité représentait 0.8% du PIB mondial, soit à peu près autant que le trafic de drogue. En France, le CREDOC avait estimé en 2009 que 210 000 personnes par an étaient victimes d’un vol d’identité, pour un coût total de 414M d’€.

Notre comportement sur le web est assez similaire à celui des automobilistes dans les années 60. A cette époque, une grande partie de la population découvrait la voiture, qui était alors d’abord perçue comme un instrument de liberté et d’évasion. Les risques n’étaient pas pris en compte à leur juste mesure. On roulait très vite, sans ceinture, dans des voitures peu sécurisées, avec des conséquences néfastes : en 1972, on comptait plus de 16 000 morts par an sur les routes en France.  Heureusement des progrès considérables ont été réalisés depuis. En 2014, il y a eu 3 103 morts sur les routes de France. L’État a joué son rôle en menant de nombreuses et coûteuses campagnes de sensibilisation pour le port de la ceinture et contre l’alcool au volant. Les industriels ont construit des voitures plus sûres. Et les particuliers ont pris conscience du danger et modifié leurs comportements.

Nous circulons aujourd’hui sur Internet sans ceinture de sécurité et cela nous met en danger. Il faut s’inspirer de la prévention routière. Quand de nouveaux risques émergent, il faut une action concertée de la part de l’État, des industriels et des particuliers. Si le budget de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a été récemment augmenté, ses missions restent encore très focalisées sur la protection des administrations et des entreprises d’intérêt vital, les fameux OIV. On peut le regretter car certains de nos voisins ont une approche plus ambitieuse. Au Royaume-Uni, la sensibilisation des consommateurs est au cœur de la politique de cyber sécurité. Les programmes Get Safe Online et Cyber Street Wise, financés par le gouvernement britannique, mènent des campagnes de communication pour rappeler les règles de base de la sécurité en ligne, comme l’utilisation de mots de passe forts (composés d’au moins huit caractères alphanumériques) et différents pour chaque site. Les écoliers britanniques sont aussi sensibilisés à la sécurité en ligne grâce à des kits pédagogiques réalisés par le gouvernement. L’État doit financer des campagnes importantes de sensibilisation aux règles de base de la sécurité en ligne et être exemplaire sur l’ensemble des services publics en ligne. Aujourd’hui il n’est par exemple pas possible d’utiliser un mot de passe fort sur le site ameli.fr de la sécurité sociale…

Les sites qui vendent des biens ou services en ligne doivent également s’assurer que leurs clients se connectent de manière sécurisée et utilisent des mots de passe forts. L’étude menée par Dashlane en janvier 2014 avait montré que certains d’entre eux acceptent des mots de passe très peu sécurisés ou les envoient en clair par mail, ce qui est évidemment très dangereux. Enfin, les utilisateurs doivent également se prendre en main. Nous sommes nombreux à savoir que le seul moyen d’éviter à coup sûr les piratages est d’utiliser des mots de passe forts, différents pour chaque site, mais nous ne le faisons pas toujours car nous trouvons cela trop compliqué.

« Quand on peut prévenir c’est faiblesse d’attendre » disait Jean de Rotrou. Nos sociétés modernes ont montré qu’elles pouvaient être fortes faces à certains risques et œuvrer efficacement à les prévenir. Utilisons les mêmes méthodes et attaquons nous sérieusement au problème de la sécurité en ligne ! (Par Guillaume Desnoes, Responsable des marchés européens de Dashlane.)