Mise à jour du 1er août ci-dessous. Cet article a été initialement publié le 30 juillet
Bien que beaucoup de gens utilisent Gmail pour une utilisation jetable, ponctuelle et anti-spam, il y a, selon les derniers chiffres que j’ai pu trouver, autour de 1,8 milliard actif Utilisateurs de Gmail. Pour mettre cela en perspective, il y a environ 4,25 milliards d’utilisateurs de messagerie sur toutes les plates-formes et applications, de sorte que Gmail représente environ 20% d’entre eux.
Il n’est donc pas surprenant que Gmail soit également une cible privilégiée des acteurs malveillants. Contrairement à votre messagerie professionnelle, les comptes Gmail personnels ont tendance à rester utilisés pendant des années; il a été lancé en 2004. Cela crée un trésor de données précieuses qui peuvent être utilisées par les pirates pour lancer des attaques en cours. Les comptes de messagerie professionnels ont également tendance à être mieux sécurisés que les comptes personnels par défaut. Et puis il y a la question pas si petite des demandes de réinitialisation de mot de passe qui correspondent généralement par défaut à votre e-mail. Il n’est donc pas nécessaire d’être un génie de la cybersécurité pour calculer l’impact de la compromission de votre compte Gmail. Pour accéder à votre compte Gmail, les auteurs de menaces doivent compromettre votre compte Google. Voici comment les arrêter.
Comment sécuriser votre compte Gmail contre les pirates
Mais ce ne sont pas toutes de mauvaises nouvelles car il est assez facile de protéger votre compte Google et, par extension, votre compte Gmail, au moins aussi bien que tout ce qui peut être sécurisé. Tout ce que vous avez à faire est de prendre la sécurité de Gmail au sérieux, et je suis ici pour vous expliquer comment.
Pour la plupart des gens, la plupart du temps, la sécurité des comptes Google se résume à deux choses: les informations de connexion et la vérification en deux étapes.
1. Assurez-vous d’avoir un mot de passe unique et fort. Comme je le dis toujours à ce stade, un gestionnaire de mots de passe est votre ami, à la fois dans la création de ce mot de passe et lorsque cela est nécessaire pour l’utiliser.
2. Assurez-vous que la vérification en deux étapes est activée pour votre compte Google. Vous avez peut-être déjà été invité à le faire car Google a mis en place un programme « par défaut pour activer » depuis la fin de l’année dernière.
La vérification en deux étapes est l’ami de votre compte Google, alors utilisez-la
Google propose plusieurs options de vérification secondaires, la plus pratique étant une invite Google vers un appareil différent de celui que vous utilisez pour vous connecter. Donc, si vous êtes sur votre ordinateur portable, il irait à votre téléphone et vice versa. Ajoutez une application d’authentification, Google Authenticator étant la valeur par défaut, mais vous pouvez utiliser Authy ou similaire comme sauvegarde. En parlant de cela, notez vos codes de sauvegarde en cas d’échec ailleurs. Ceux-ci peuvent être stockés dans votre gestionnaire de mots de passe, par exemple.
La forme la plus sûre de vérification secondaire consiste à utiliser une clé de sécurité, et Google propose également cette option. Google vend sa propre marque, ou vous pouvez utiliser une YubiKey. Si vous vous inscrivez au programme de protection avancée, suggéré pour les comptes de grande valeur tels que les journalistes, les militants, etc., l’utilisation d’une telle clé est obligatoire.
Vérification de la sécurité des comptes Google
Donc, ce sont les données. Cependant, il y a beaucoup plus de couches qui peuvent être ajoutées à votre gâteau de sécurité Gmail. Le premier d’entre eux englobe ce qui a déjà été dit mais va plus loin, mais ne prend que quelques minutes de votre journée. Je parle d’un Vérification de la sécurité des comptes Google. Cela affichera les actions de sécurité recommandées en fonction de vos paramètres existants, vous montrera quels appareils se sont connectés à votre compte, d’où et quand, détaillera les applications auxquelles vous avez donné accès à votre compte, vous offrira la possibilité de révoquer celles que vous n’utilisez plus ou que vous ne reconnaissez plus, et de mettre en évidence tous les paramètres Gmail « sensibles » que vous utilisez.
C’est vraiment un guichet unique de liste de contrôle de sécurité et je recommande fortement de passer du temps à le faire. La partie qui montre les appareils qui se sont connectés à votre compte est bénéfique pour faire flotter des drapeaux rouge vif concernant la sécurité et la confidentialité de votre compte Gmail. Il vous montrera quand l’appareil s’est connecté, le type d’appareil et où il se trouvait. Ce dernier n’étant pas aussi utile que le premier, grâce à sa facilité à falsifier.
Sortez des sentiers battus de Google pour une meilleure sécurité
Cela aiderait si vous pensiez aussi un peu en dehors de la boîte Google. J’entends par là que je m’assure que votre système d’exploitation est entièrement corrigé avec les dernières mises à jour de sécurité. Idem pour le navigateur Web de votre choix et toutes les applications tierces que vous utilisez conjointement avec Gmail. Il est également recommandé d’auditer régulièrement les extensions de votre navigateur et votre application, en supprimant celles que vous n’utilisez plus.
Mise à jour du 1er août :
Depuis la publication de cet article pratique samedi matin, j’ai reçu de nombreux courriels de lecteurs qui m’ont demandé s’il existait des conseils aussi simples et directs qui s’appliquent à la confidentialité des utilisateurs de Gmail. Bien qu’il soit facile de hausser les épaules et de contester que quiconque utilise Gmail, ou tout service Google, a déjà pris la décision que la convivialité et la fonctionnalité l’emportent sur la confidentialité totale, ce n’est pas ce que je vais faire. Bien qu’il y ait un certain kilométrage dans cet argument, il est également possible de reprendre le contrôle de votre posture de confidentialité lorsque vous utilisez Gmail sans être un génie technique ou sacrifier trop la facilité d’utilisation.
Veuillez noter, cependant, que ce ne sont que des conseils pour vous donner plus de contrôle plutôt qu’une sorte d’élixir de confidentialité magique: si vous accordez plus d’importance à la confidentialité qu’à tout, vous voudrez peut-être regarder un client de messagerie qui fournit un cryptage complet de bout en bout à la place. Cependant, ne vous attendez pas aux mêmes niveaux de convivialité « prêts à l’emploi » que Gmail. L’équilibre entre la confidentialité et la convivialité n’est pas différent à cet égard de celui de la sécurité. Vous seul pouvez décider où vous positionnez le curseur de risque, pour ainsi dire, et faire cet appel de sécurité et de confidentialité.
Trois conseils simples pour prendre le contrôle de la confidentialité de Gmail
1. Bloquez les trackers d’e-mails en prenant le contrôle d’images externes
Le suivi d’image est un outil très couramment utilisé par les entreprises, les spécialistes du marketing et les éditeurs de newsletters. Il existe une myriade de méthodes pour suivre les e-mails, mais l’une des plus simples et donc les plus courantes est l’utilisation de pixels de suivi. Ces images, généralement invisibles, d’un pixel sont chargées à partir d’un serveur externe afin que l’expéditeur sache que l’e-mail a été ouvert. Cette image est hébergée sur un serveur différent de l’expéditeur du courrier, ce qui entraîne l’envoi par le client de messagerie d’une demande d’affichage qui inclura probablement des éléments tels que votre adresse IP et la version du navigateur, même les cookies définis par ce serveur d’images pour suivre votre comportement. Pour reprendre le contrôle, ouvrez vos paramètres Gmail et recherchez la configuration « Images »: réglez-la sur « demander avant d’afficher des images externes » et le travail est bon. Désormais, tous les e-mails entrants n’afficheront aucune image externe. Si vous souhaitez voir des images externes, vous avez la possibilité de les afficher message par message, ainsi que de configurer tous les e-mails de cet expéditeur pour qu’ils les affichent toujours.
2. Utilisez le « Privacy Check-up » de Google et modifiez vos paramètres de confidentialité
Tout comme vous pouvez effectuer un contrôle de sécurité à l’aide des propres outils de Google, vous pouvez également le faire pour les questions de confidentialité. Le contrôle de la confidentialité est un excellent moyen d’obtenir un aperçu rapide de votre position en matière de confidentialité sur les services Google, y compris Gmail. Cela vous permettra de définir vos paramètres de personnalisation des annonces et l’accès à des applications tierces, par exemple. L’option « Données et confidentialité » des paramètres de votre compte Google vous donnera un aperçu encore plus grand des données des applications et des services, mais la configuration de la confidentialité la plus granulaire provient, sans surprise, des paramètres Gmail accessibles à partir de l’application elle-même. Dans la section « Général », ainsi que dans l’option d’images externes déjà mentionnée, vous trouverez deux éléments faisant référence aux « fonctionnalités intelligentes et à la personnalisation » dans Gmail et d’autres produits Google. Google indique que « Gmail, Chat et Meet peuvent utiliser mon e-mail, mon chat et mon contenu vidéo pour personnaliser mon expérience et fournir des fonctionnalités intelligentes » si celles-ci sont activées.
À partir du 25 janvier 2022, ces paramètres sont désactivés par défaut pour les utilisateurs basés en Europe. Je recommanderais toujours à tout le monde de les vérifier, surtout si vous n’êtes pas en Europe, mais même dans ce cas, pour être du bon côté. En outre, vous devez savoir que la désactivation de cette option aura un impact sur certains e-mails automatiques. le filtrage, la recherche intelligente, les fonctions de composition et de réponse, les coups de pouce et même la façon dont Google extrait des éléments tels que les détails de l’événement pour créer une entrée de calendrier ou des réservations de restaurant affichées sur des cartes.
États Google: « Nous n’analysons ni ne lisons vos messages Gmail pour vous montrer des annonces. Lorsque vous utilisez votre compte Google personnel et ouvrez les onglets promotions ou réseaux sociaux dans Gmail, vous verrez les annonces qui ont été sélectionnées pour être les plus utiles et les plus pertinentes pour vous. Le processus de sélection et de diffusion d’annonces personnalisées dans Gmail est entièrement automatisé. Ces annonces vous sont présentées en fonction de votre activité en ligne lorsque vous êtes connecté à Google, mais nous ne traitons pas le contenu des e-mails pour diffuser des annonces.
3. Envisagez d’utiliser le mode confidentiel
Si vous ne souhaitez pas vider Gmail pour un service de messagerie chiffré de bout en bout axé sur la confidentialité, vous pouvez essayer le mode confidentiel de Google pour Gmail à la place. Il est disponible à partir de l’interface de composition, via le menu à trois points. Cela offre une option d’autodestruction des messages de type Snapchat, une révocation d’accès à un bouton et désactive l’impression, le transfert ou le téléchargement de messages. Vous pouvez également définir un code d’accès à usage unique pour permettre au destinataire d’ouvrir l’e-mail en premier lieu. Ce que vous n’obtenez toujours pas, c’est le cryptage de bout en bout. Gmail offre un chiffrement en transit à l’aide de TLS (Transport Layer Security) ou S/MIME pour les comptes dont cela est activé aux deux extrémités. Cependant, bien que cela offre une certaine protection « en transit », votre courrier électronique n’est pas crypté au repos sur le serveur. Vous pouvez utiliser une application tierce pour chiffrer le contenu du message, mais à ce stade, il est probablement plus facile de sauter le navire pour une alternative cryptée de bout en bout.