Mountain View livre deux nouvelles fonctionnalités allant dans le sens de la protection de ses utilisateurs contre l’usurpation de leurs comptes Google. D’un côté, Password Checkup détecte et alerte en cas d’utilisation d’identifiants compromis. De l’autre Cross Account Protection vient permettre l’échange de messages de sécurité entre Google et les services tiers connectés.
A l’instar de Mozilla, qui s’appuie pour sa part sur HaveIBeenPwned, Google a mis au point un utilitaire permettant à ses utilisateurs de savoir si leurs noms d’utilisateur ou mots de passe ont été exposés lors d’une fuite. Mountain View explique avoir à sa connaissance quatre milliards d’identifiants compromis. Cette extension, baptisée Password Checkup et qui n’est pas sans rappeler un service récemment lancé par le chercheur en sécurité Troy Hunt, « détecte si un nom d'utilisateur et un mot de passe sur un site que vous utilisez ont été compromis et déclenchera une alerte automatique qui vous suggérera de changer votre mot de passe ».
Toutefois, l’idée de donner encore plus d’informations à Google peut rebuter, mais le géant assure que ce service ne lui permettra pas d’avoir connaissance des identifiants renseignés, grâce à l’apport des chercheurs de Stanford qui ont conjointement travaillé sur Password Checkup. Le service répond ainsi aux exigences de confidentialité et de sécurité « en utilisant plusieurs cycles de hachage, k-anonymat, le recouvrement d'informations privées et une technique appelée blinding » assure Google.
Protection du Sign In avec Google
Toujours dans la sécurité, Google a mis en place un système de protection pour les applications tierces utilisant Google Sign In. A l’instar de Facebook, LinkedIn ou encore Twitter, nombreux sont les services en ligne qui proposent d’accéder à d’autres sites ou services par le biais d’un bouton « Se connecter avec ». Or si un attaquant parvient à prendre le contrôle d’un compte Google, les outils de sécurité permettant à l’utilisateur légitime de récupérer le compte « n’ont pas été étendu aux applications auxquelles vous vous êtes connecté avec Google Sign In ».
Mountain View lance donc Cross Account Protection. Ce protocole basé sur un certain nombre de standards, dont RISC, permet à deux applications d'envoyer et de recevoir des notifications de sécurité concernant un utilisateur commun. Il prend en charge un ensemble normalisé d'événements allant du piratage de compte à la désactivation de celui-ci, en passant par le verrouillage de sécurité ou encore l’expiration forcée des sessions. Et aucune autre donnée n’est échangée avec le service tiers, insiste à nouveau Google, décidément très attaché à la confidentialité.