10 façons de blinder votre compte Google

  Posted On   By Rémi Virlouvet   Conseils & Astuces

 

Rien qu’en 2018, des milliards de comptes ont été piratés sur un large assortiment d’applications et de services, prouvant une fois encore que même les plus gros acteurs de l’Internet ne peuvent pas toujours garder les comptes de leurs utilisateurs fermés à double tour.

Les pirates ont l’art de passer inaperçu, menant la vie dure à quiconque se retrouve dans leur ligne de mire. Tandis que les grosses entreprises doivent se plier à des réglementations comme le RGPD, les utilisateurs ressentent de plus en plus la nécessité de s’armer en adoptant de bonnes pratiques pour une meilleure hygiène numérique.

Certains acteurs sont plus appliqués que d’autres, en terme de sécurité, mais la plupart offrent aux usagers un grand nombre d’options pour déployer des couches de sécurité additionnelles, comme la double authentification (2FA), l’email de secours, ou des codes de sécurité à imprimer. En tant que plus gros agrégateur de données générées par les utilisateurs sur le web, Google offre un large éventail de couches de sécurité auxquelles les utilisateurs peuvent s’inscrire ou se désinscrire, en fonction de leurs besoins en vie privée, leur connaissance en sécurité, ou simplement à leur convenance. Ce guide offre un panorama complet de ces options discrètes que chaque utilisateur devrait connaitre et utiliser à son avantage.

1. Check-up de sécurité

Votre première étape pour blinder votre compte Google sur l’ensemble de vos appareils connectés est de visiter le module de contrôle Check-up Sécurité du géant du web à l’adresse : https://myaccount.google.com/security, puis de cliquer sur “Démarrer” (ou “Sécuriser le compte” si Google a détecté un problème). Cela vous amène donc au sous-menu Check-up Sécurité, qui offre un accès rapide aux option-clés qui vous aideront à sécuriser votre compte.

Selon vos réglages actuels, le panneau de Check-up Sécurité de Google ressemblera peu ou prou à la capture d’écran ci-dessus. Peu importe votre configuration actuelle, toutes les actions vues ici devraient s’appliquer à tout le monde.

2. Vos Appareils

Dans cette section, Google affiche les appareils que vous possédez qui sont actuellement liés à votre compte Google, avec autorisation administrateur. Le bouton à trois points à droite de chaque appareil listé vous laisse supprimer tout appareil que vous n’utilisez plus avec votre compte.

Si “vous ne reconnaissez pas un appareil”, Google vous recommande de changer de mot de passe immédiatement, car vos identifiants peuvent avoir été compromis. Cela ne veut pas nécessairement dire que quelqu’un a piraté Google et volé votre mot de passe. En réalité, les pirates ont l’habitude d’acheter des identifiants volés qui ont fuités dans des failles connues, puis utilisent des techniques comme le bourrage d’identifiant pour essayer de compromettre la présence en ligne complète de la victime, que ce soit Google, Facebook, Twitter, Instagram, LinkedIn, leur compte en banque, ou n’importe quel autre site lié.

Dans le module principal de Sécurité, Google vous laisse également retrouver un téléphone perdu ou volé.

3. Événements Récents relatifs à la Sécurité

Nouveau téléphone? Connecté avec votre compte Google sur un ordinateur du bureau ? Google gardera la trace de ces “événements” dans cette section spéciale, vous permettant de suivre votre activité sur tout appareil, et de signaler un événement non reconnu. Choisir de générer des codes de secours (comme expliqué plus loin) sera aussi enregistré en tant qu’événement, comme le montre l’image ci-dessus.

4. Validation en 2 étapes

Connue comme Authentification à deux facteurs (2FA), ou Vérification à deux étapes, ce paramètre indispensable devrait être activé sur tous les services sur lesquels il est disponible, pas seulement votre compte Google. En fait, la vérification à deux étapes est devenue une règle de base ces dernières années. Si les pirates parviennent à vous duper avec un message d’hameçonnage (phishing) bien ficelé, ce réglage vous sauvera la vie : sans votre deuxième appareil de confiance pour recevoir ce code temporaire à usage unique, les pirates ne pourront pas rentrer. Si la validation en deux étapes n’est toujours pas active, dépêchez-vous !

Google offre des “facteurs” additionnels d’authentification si vous suivez le lien inclus dans l’invite. Cela comprend :  activer une Invite de connexion Google (une notification oui/non, plutôt qu’un code à entrer), l’authentification par voix ou texto, et même des codes uniques de secours que vous pouvez télécharger ou imprimer pour les utiliser comme jetons d’authentification où que vous alliez.

Le module de Validation en 2 étapes offre également un moyen rapide de révoquer instantanément le statut vérifier à tout appareil qui ignore la Validation. 

5. L’application Authenticator

Google offre encore plus de commodité via une appli bien pratique, Authenticator, que vous pouvez trouver sur l’App Store (iOS) ou le Google Play Store (Android). Installez-la, rentrez votre compte et scannez le QR code que Google fournit. Ce n’est pas forcément plus pratique qu’entrer votre mot de passe, puisqu’Authenticator implique de rentrer un code de vérification. Mais cela reste une option utile. Son gros avantage est que vous pouvez obtenir des codes de vérification pour tout service qui supporte le TOTP (mot de passe temporaire à usage unique). Aussi, cela ne nécessite aucun réseau ou connexion cellulaire. Si la validation en deux étapes échoue parce que la réception est mauvaise, Authenticator vient à la rescousse !

6. Clé de Sécurité (physique)

Google vend ses clés Titan Security comme “des appareils à validation en deux étapes résistantes au hameçonnage qui aident à protéger les utilisateurs à responsabilité élevée tels les administrateurs réseaux.” Utiliser ce genre de dispositif peut paraître un peu excessif pour l’internaute moyen, mais cette clé de sécurité USB bien pratique élimine complètement le besoin de rentrer un code ou un mot de passe. C’est également utile pour les journalistes qui enquêtent sur des sujets sensibles, les activistes, les hommes d’affaires, les équipes de campagnes électorales.

7. Accès des Applications Tierces

Dans le module Check-up Sécurité, “Applications ayant accès à votre compte” liste les applis et services externes (non-Google) liés à votre compte Google. Il est conseillé de supprimer tout appli ou service que vous n’utilisez plus ou que vous ne voulez plus associer à votre compte Google. Pour en savoir plus sur un item, cliquez sur le bouton “i” pour voir quelles données ils collectent et comment.

Dans le panneau principal de Sécurité, ci-dessous, une section appelée “Se connecter à l’aide de Google” liste tous les services, dont les sites, qui vous authentifient via Google. Ne gardez que les sites et services que vous utilisez activement. Tout site ou service que vous ne souhaitez plus connecter à votre compte Google doit disparaître. Si l’un d’eux est victime d’une exploitation de faille, votre mot de passe sera compromis.

Et dans le module Mots de passe enregistrés, vous pouvez voir (et supprimer) tous les identifiants de connexion que vous avez utilisés avec des sites et services tiers.

8. Ajouter un téléphone et / ou courriel de secours

Vous devez avoir au moins un moyen par lequel Google peut vous joindre si quelque chose de suspect arrive à votre compte, ou si vous vous retrouvez bloqué. C’est pourquoi vous avez la possibilité d’inscrire un téléphone ou un email de secours, voire les deux. Vous pouvez faire cela dans le panneau principal de Sécurité. Choisissez votre option et suivez les instructions à l’écran pour les paramétrer.

9. Rafraîchir son mot de passe

Vu la fréquence à laquelle les fuites de données sont signalées et les identifiants utilisateur sont compromis, c’est une très bonne idée de donner à votre mot de passe un petit coup de frais de temps à autre.

Google est l’un des rares services à vous indiquer l’ancienneté de votre mot de passe. Dans votre panneau Sécurité, vous trouverez une section appelée “Se connecter à Google.” Là, vous pouvez changer votre mot de passe et vos réglages de vérification en deux étapes. Vous devrez rentrer au moins huit caractères, et vous seriez bien avisé d’utiliser des minuscules et des majuscules, des chiffres et même des caractères spéciaux (@#$&%).

La section “Mots de passe des applications” vous laisse définir des mots de passe que vous pouvez utiliser pour vous connecter à votre compte Google depuis des applis sur les appareils qui ne supportent pas la Vérification à 2 étapes. Vous n’aurez qu’à les entrer une fois, alors nul besoin de vous en souvenir.

10. Télécharger et passer en revue une copie de vos données (collectées par Google)

Beaucoup d’entre nous ont utilisé Google quasiment toute leur vie. En considérant tous les services qu’il régit et à quel point combien il est intégré à notre vie quotidienne, on ne peut qu’imaginer combien de données le géant technologique détient sur chacun de nous. Alors que la plupart de ces données sont collectées à juste titre, afin de pouvoir profiter de services fiables tels que Maps, c’est toujours une bonne idée de passer en revue les données et peut-être bidouiller ça et là les réglages de confidentialité.

Vous pouvez exporter une copie de vos données ici. Sélectionnez ou désélectionnez les services que vous voulez inclure ou pas dans votre archive et cliquez sur “Suivant” en bas de la page. Google commencera alors à produire une archive de vos données, ce qui peut prendre des heures, voire des journées entières. Un email vous sera ensuite envoyé avec un lien pour télécharger votre archive.

Et voilà ! N’hésitez pas à parcourir les modules de sécurité et de confidentialité de votre compte afin de configurer les meilleurs paramètres qui vous conviennent. Sortez couverts !