Alors que Google annonçait récemment une série de nouvelles mesures pour renforcer la sécurité des utilisateurs de ses plateformes et services, l’un des responsables de la cybersécurité, au sein de l’entreprise, reconnaît que la lutte contre les pirates peut avoir des allures de « course sans fin ». Du même souffle, cependant, il affirme que la situation pourrait rapidement changer si les protections actuelles étaient correctement utilisées par tous, y compris les entreprises. Rencontre.
Les statistiques parlent d’elles-mêmes: selon des données transmises par Google, les Canadiens auraient perdu 638 millions de dollars dans des fraudes commises en ligne, l’an dernier; depuis 2021, le total dépasserait ainsi les 2 milliards de dollars.
Et cela, affirme-t-on, ne représente qu’une petite partie du total, alors que le Centre antifraude du Canada juge que seuls 5 à 10% des fraudes sont signalées aux autorités.
C’est dans ce contexte toujours plus volatil que Fabrice Jaubert, responsable des équipes et des produits Safe Browsing au sein du géant technologique, juge que son travail, et celui de ses collègues, est plus essentiel que jamais.
« Safe Browsing est offert sur plusieurs milliards d’appareils, principalement via Chrome, mais aussi des téléphones, entre autres », indique ainsi M. Jaubert, en entrevue avec Pieuvre.
« Safe Browsing vise surtout les attaques les plus répandues, comme l’hameçonnage – les sites qui essaient de vous voler votre mot de passe –, et nous nous attaquons aussi, de plus en plus, aux faux suivis de colis, ou encore aux arnaques aux péages, concernant de supposés frais non payés. »
« Notre équipe, poursuit M. Jaubert, met au point des modèles d’IA et des algorithmes pour identifier, de façon automatique, ce genre d’arnaques et de menaces envers les utilisateurs, en plus de répertorier les sites qui sont dangereux, pour qu’ensuite, les navigateurs avertissent leurs usagers. »
Ce phénomène prend-il de l’ampleur? Pas nécessairement, répond Fabrice Jaubert, qui parle plutôt de « vagues » d’attaques. « En fait, en tant que défense, nous devons parfois rattraper le jeu. Le nouvel algorithme permet de calmer un peu le jeu, mais les attaquants, eux, ne s’endorment jamais. Ils sont toujours en train de chercher des façons de contourner les protections. Et quand ils en trouvent une, vous recommencez à voir quelques courriels qui passent à travers les mailles du filet… Jusqu’à ce que les algorithmes soient remis à jour. »
D’ailleurs, M. Jaubert reconnaît que le développement de l’IA, s’il permet de concevoir des protections plus sophistiquées, donne aussi des outils aux individus malveillants pour que ceux-ci lancent des attaques « toujours à plus grande échelle ».
« Ce n’est toutefois pas le seul facteur; c’est par exemple de moins en moins cher d’acheter un domaine, pour lancer de nouvelles campagnes. »
Une lutte éternelle?
Peut-on vaincre les fraudeurs? Peut-on concevoir des outils si puissants et efficaces que nous ne recevrons plus jamais de faux messages de « Fedex », ou encore de ce supposé avocat cherchant à nous transférer des millions de dollars?
Je pense que nous ne mettrons jamais fin, complètement, aux menaces sur internet, mais je crois que nous pouvons placer la barre du retour sur investissement assez haute – ces criminels sont des hommes d’affaires, ils veulent un retour sur leur investissement. Le jour où celui-ci sera trop faible, voire négatif, ils passeront à autre chose.
-Fabrice Jaubert, responsable des équipes et des produits Safe Browsing chez Google
« Nous n’avons plus, comme espoir, de complètement éliminer le phishing, sur le web, mais on a comme espoir de le rendre tellement compliqué, tellement cher, que ce ne seront plus que les nations, les États, qui pourront se permettre d’effectuer des attaques comme ça », a encore déclaré M. Jaubert.
Ce dernier a d’ailleurs tenu à déboulonner un mythe, en matière de sécurité: ce n’est pas nécessairement tante Rita, qui se fait avoir par un courriel de « Netflix » lui demandant de fournir « à nouveau » ses informations bancaires, qui représente la plus grande menace à la cybersécurité.
« Ce qui me fait m’arracher le plus les cheveux, c’est le manque de prévoyance en entreprise. Quand une entreprise légitime envoie un courriel à un utilisateur en lui disant « il faut remettre votre mot de passe à jour, cliquez ici pour le faire », moi, je m’arrache les cheveux en me disant que ça, c’est préparer les gens à se faire arnaquer! », lance-t-il.
« J’espère que nous éduquerons les entreprises, pour qu’elles adoptent les meilleures pratiques, et pour que le public soit ensuite habitué à des façons de faire normales, et que s’il reçoit un courriel inhabituel, il puisse reconnaître que c’est une tentative de fraude. »
Le spécialiste se dit également tout à fait conscient qu’ajouter de nouvelles mesures de sécurité entraîne son lot de frictions pour les utilisateurs: « On veut ajouter des couches [de protection] qui ont un sens, qui ont une utilité, et enlever celles qui ne sont pas efficaces. »
M. Jaubert dit par ailleurs « ne pas voir comment le gouvernement [fédéral] pourrait poser des gestes concrets qui amélioreraient les choses ». De toute façon, dit-il, « la plupart des criminels ne sont pas au Canada ». « Je crois que si les banques, par exemple, n’avaient pas de bonnes mesures de sécurité, le gouvernement pourrait intervenir.
Pour le reste, le message est clair: oui, les utilisateurs, internautes et autres propriétaires d’appareils connectés devront continuer de faire preuve de vigilance, face à des fraudeurs plus déterminés que jamais, mais c’est du côté des entreprises qu’une grande partie du travail de prévention reste à faire, avec l’adoption de pratiques plus efficaces pour protéger la compagnie, mais aussi ses clients.
Chez Google, pendant ce temps, la course contre les bandits ne prendra pas fin de sitôt. Mais avec un peu de chance, ce n’est pas demain la veille où l’on devra s’identifier avec un mot de passe, un code chiffré, notre visage, notre voix, et pourquoi pas notre ADN, par-dessus le marché!
