Aujourd'hui, les comptes Google servent à tout : pour se connecter à YouTube, pour utiliser les services de la marque et même pour se connecter à d'autres sites. Il est donc tentant de les utiliser également pour ses mails, pour se faciliter la vie. Mais entre les tentatives de phishing et le fait que Google puisse obtenir des informations grâce aux mails que vous recevez et envoyez, il est important de prendre des précautions supplémentaires pour protéger sa sécurité et sa vie privée.
Bonne nouvelle, pour ça, vous n'avez pas forcément besoin de changer de fournisseur de messagerie, juste de modifier légèrement vos habitudes. On vous explique.
Améliorer la protection de son compte
Activer la double authentification
Avant de se pencher sur les améliorations les plus avancées, il y a quelques étapes très simples à compléter pour sécuriser son compte Gmail. La première, s'assurer que le mot de passe utilisé pour le compte est fort et unique. La deuxième, activer la validation à deux étapes. Google propose plusieurs méthodes pour cette deuxième authentification : SMS, Invites Google envoyées sur le téléphone sur lequel vous êtes connecté, codes de secours, Google Authenticator et clé de sécurité. Le choix de la méthode dépendra de vos besoins et du rapport sécurité/facilité d'utilisation que vous préférez.
La méthode la moins sécurisée repose sur l'envoi de SMS. Même si ce genre d'attaques n'est pas encore très répandu en France, nous avons vu dans d'autres pays que des attaquants, avec l'aide d'un peu de social engineering, arrivent à obtenir des cartes SIM liées à un numéro de téléphone qui n'est pas le leur et récupèrent l'accès à de nombreux comptes et informations personnelles de cette façon. Sans aller jusque-là, une application malveillante peut intercepter vos SMS et obtenir le code de sécurité envoyé.
Pour un maximum de protection, les clés de sécurité sont le meilleur choix. Vous avez deux options : une clé de sécurité physique ou celle intégrée à votre téléphone, présente dans la plupart des smartphones modernes. Pour cette dernière, il faudra que votre téléphone et l'appareil sur lequel vous vous connectez puissent activer le Bluetooth afin qu'ils vérifient leur proximité. L'utilisation de l'application Google Authenticator est également une bonne option. Elle est moins sûre que des clés de sécurité puisque quelqu'un qui a obtenu un accès physique à votre téléphone pourra se connecter à distance sur votre compte, mais c'est généralement un bon compromis entre facilité d'utilisation et sécurité.
Si vous décidez de ne plus utiliser les SMS comme méthode de validation, il est important de les supprimer sur votre compte Google pour plus de sécurité. Pour ça, rendez-vous dans les paramètres, dans le menu "Sécurité" → "Validation à deux étapes" → "Message vocal ou SMS" → cliquez sur la poubelle.
Surveiller l'activité de son compte
Dans le menu de sécurité, Google donne accès à de nombreuses options pour surveiller votre compte. Vous pouvez voir quelles applications tierces y ont accès ou à quels sites vous vous êtes connectés à l'aide de votre compte Google et révoquer leur accès. Le menu vous indique aussi sur quels appareils votre compte est connecté, ce qui vous permet de vérifier si une connexion a eu lieu depuis un appareil inconnu et d'indiquer que vous ne le reconnaissez pas le cas échéant.
Savoir reconnaître le phishing
L'un des facteurs de piratage de compte les plus répandus est le phishing. Vous en avez déjà probablement vu : des emails qui se font passer, avec plus ou moins de succès, pour une marque, un service public ou une personne que vous connaissez pour essayer de vous convaincre d'entrer vos identifiants ou télécharger un fichier infecté. Si Google a des protections en place contre le spam et les tentatives de phishing, il n'est pas impossible que certains mails passent entre les mailles de leur filet virtuel.
Généralement, il est assez simple de reconnaître une tentative de phishing. L'adresse email utilisée pour envoyer le mail est bizarre, des fautes d'orthographe ou des anomalies visuelles sont présentes dans le corps du message, le sujet du mail utilise des caractères non conventionnels… Mais d'autres tentatives sont beaucoup plus dures à détecter et il est nécessaire de prendre quelques précautions lorsque vous recevez un document ou un lien par mail.
Si vous recevez un document d'une personne que vous connaissez, assurez-vous qu'elle est bien à l'origine de l'envoi. De même, si le document semble émaner d'une entreprise ou d'un service public, vous pourrez généralement le retrouver sur votre compte. Il est préférable d'aller directement sur le site de l'entité en question et de vous connecter pour le récupérer plutôt que de télécharger la pièce jointe. Il faudra avoir les mêmes réflexes pour les liens reçus par mail. Il est courant de recevoir des messages qui semblent venir de PayPal ou d'une entreprise de livraison de colis, indiquant qu'un problème est présent pour vous pousser à cliquer sur le lien du mail et récupérer ainsi des informations de connexion ou de paiement. Là aussi, se rendre directement sur le site en question plutôt que de cliquer sur le lien est plus prudent. Si un problème est réellement présent, il sera reflété sur le site de l'entreprise.
Dans tous les cas, si le message vous promet des choses irréalistes (une grosse somme d'argent, avoir gagné un concours important…) et/ou vous demande des informations sensibles, il s'agit probablement d'un mail malveillant et la prudence est de mise.
Chiffrer ses mails
Par défaut, Gmail utilise TLS pour le chiffrement des mails. Vos messages sont chiffrés durant le transit, c'est-à-dire pendant leur acheminement de votre boite mail à celle de votre destinataire et vice-versa, afin d'éviter que des tiers puissent les intercepter. Mais cela signifie qu'une fois dans votre boite mail, ils sont vulnérables aux hackers ayant obtenu un accès à votre compte. Mais aussi à Google, qui possède des bots vérifiant les mails aussi bien pour votre sécurité que pour obtenir des informations.
Si la solution la plus simple consiste à passer sur un service de mails chiffrés, d'autres solutions existent pour conserver son adresse Gmail actuelle. Plusieurs extensions de navigateur vous permettent d'ajouter une couche de chiffrement aux messages que vous envoyez. La plus connue d'entre eux est probablement Mailvelope mais c'est aussi la plus technique. Elle requiert l'utilisation de clés OpenPGP entre l'expéditeur et le destinataire et donc de réussir à convertir vos interlocuteurs à la pratique.
Pour une alternative plus simple d'utilisation, l'extension FlowCrypt permet aussi bien d'utiliser des clés OpenPGP que d'ajouter un mot de passe, à communiquer de façon sécurisée à votre interlocuteur, pour chiffrer votre message sur Gmail. De cette manière, même les utilisateurs les moins techniques pourront lire vos messages et ils seront protégés des regards indiscrets.
Faire attention à sa connexion Internet
Autre composante importante de votre sécurité, là où vous vous connectez à Internet et la façon dont vous le faites. Si vous vous connectez à un Wi-Fi public, votre trafic peut être intercepté par un tiers. Lire vos mails sur une telle connexion peut représenter un risque pour la sécurité de votre compte Gmail. À chaque fois que vous vous connectez sur un Wi-Fi public ou inconnu et que vous avez besoin d'accéder à des informations sensibles, ayez le réflexe d'utiliser un VPN.
Parmi les diverses solutions du marché, ExpressVPN se distingue avec la prise en charge de plusieurs plateformes et une interface soignée. L'entreprise qui détient plus de 3000 serveurs dans 94 pays, dispose aujourd'hui d'une offre promotionnelle à ne pas manquer avec 3 mois gratuits pour la souscription annuelle.
- storage3000 serveurs
- language105 pays couverts
- lan8 connexions simultanées
- moodEssai gratuit 30 jours
- descriptionPas de log de données