L’un des moyens les plus courants de se faire voler un mot de passe est le phishing : la victime accède à une fausse page de connexion et tape sa combinaison, qui est capturée par l’attaquant. Pour tenter de lutter contre cette pratique, Google a lancé mercredi (29) l’Alerte au mot de passe, une extension pour Chrome qui avertit lorsque l’utilisateur place son mot de passe Google sur une page suspecte.
Le fonctionnement de l’extension est assez simple : elle stocke un hachage de votre mot de passe dès que vous le saisissez pour la première fois sur le site légitime (dans ce cas, un domaine google.com). Si vous entrez le même mot de passe dans un autre domaine, l’extension vous redirigera vers une page indiquant que votre combinaison a été exposée. Comme ceci :
L’alerte au mot de passe vous permettra également de savoir si vous réutilisez votre mot de passe Google pour d’autres services. Mais c’est dommage que l’extension ne fonctionne que pour Google ? elle n’alertera pas si vous entrez votre mot de passe Facebook ou de banque sur internet sur une fausse page, par exemple. Cependant, Google a publié le code source de l’extension sur GitHub pour tous ceux qui souhaitent utiliser et améliorer la technologie.
Chez nous, qui avons une connaissance technologique supérieure à la moyenne et ne tombons presque jamais dans le phishing, ce type d’attaque semble un peu lointain, mais il est très courant : Google affirme que près de 2% des messages Gmail (soit plusieurs millions par jour) visent à capturer les mots de passe des utilisateurs. Et les attaques de phishing les plus efficaces atteignent un taux de réussite de 45 % ( !).
Vous pouvez télécharger l’alerte au mot de passe sur le site Chrome Web Store.
