Pour gérer vos consentements :
Categories: Cloud

Google et les mots de passe : un protocole pour les protéger tous

Avec toutes ces fuites de données, mes identifiants et mots de passe sont-ils encore sûrs ?

Des services comme PingPassword et HaveIBeenPwned entendent aider les internautes à répondre à cette question.

Google teste depuis quelques mois un outil similaire qu’il présente néanmoins comme plus sécurisé.

L’expérimentation est menée par le biais d’une extension pour le navigateur Chrome : Password Checkup. Elle se connecte à une base de 4 milliards de paires identifiant / mot de passe connues comme ayant filtré.

Une API publique hébergée sur Google Cloud permet d’exploiter le protocole sur lequel repose le dispositif.

Au-delà du navigateur

À l’occasion de la conférence USENIX organisée du 14 au 16 août à Santa Clara (Californie), les chercheurs du groupe américain sont revenus, avec des pairs de Stanford, sur ledit protocole.

Plusieurs engagements sont pris en matière de sécurité. Notamment le fait de ne jamais signaler d’informations permettant d’identifier un utilisateur.

Google cherche aussi à éviter tout détournement de son outil, que ce soit côté client ou côté serveur.

Il s’agit également, face aux protocoles cryptographiques qui remplissent un rôle comparable (PIR, PSI, OT…), de minimiser l’empreinte.
Pour le moment, l’extension Password Checkup requiert 256 Mo de mémoire côté client. Google estime ses coûts à 0,19 $ pour 1 000 requêtes API.

Il faut en moyenne 8,5 secondes pour retourner un résultat – la navigation pouvant être poursuivie entre-temps.

L’objectif à terme est de connecter les fournisseurs d’identité.

En attendant, Google communique quelques statistiques, relevées sur la période du 5 février au 4 mars 2019.

Au cours de ces 28 jours, un peu plus de 21 millions de connexions ont été recensées, sur quelque 747 000 domaines. Dans environ 1,5 % des cas, les utilisateurs ont renseigné un identifiant et/ou un mot de passe non sûr.

Google estime que le taux réel est probablement plus élevé. Et pour cause : les identifiants et mots de passe compromis ne donnent lieu qu’à un envoi de données vers le serveur. Les informations sont ensuite conservées en cache côté client.

Environ un quart des alertes ont engendré des changements d’identifiant et/ou de mot de passe. Un pourcentage similaire a été ignoré.

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago