Ça y est, c ’est décidé, vous choisissez de rester chez Google pour la majorité de vos services web. Par contre, des accidents peuvent arriver, qui vous obligent à prendre certaines précautions pour ne pas perdre définitivement toutes les données que vous avez confiées au géant de Mountain View.
Pourquoi choisir Google ?
Il existe beaucoup d ’alternatives aux services de Google. La plus sage serait d ’auto-héberger ce dont vous avez besoin, de vos mails à vos calendriers, en passant par la messagerie instantanée. Cela procurerait une indépendance totale vis-à-vis des gros fournisseurs, mais vous obligerait à faire face à différentes contraintes techniques. Vous n ’êtes pas un crack de l ’informatique, vous ne voulez pas passer dix heures par semaines à configurer et maintenir vos services, et la faible bande passante de votre connexion ADSL limite ce que vous pouvez faire, donc vous écartez cette solution. Vous pourriez aussi utiliser les services de différents fournisseurs (emails chez Hotmail, données sur Dropbox, etc.), mais les services Google associés à votre téléphone Android apportent une intégration et un confort inestimable, donc vous vous laissez charmer par les sirènes de Google.
Les accidents possibles
Bon, vos choix sont faits, vous mettez tous vos œufs dans le même panier : celui de Google. Tout va pour le mieux dans le meilleur des mondes, l ’interface de Gmail est la plus ergonomique existante, vos contacts se retrouvent dans votre téléphone, les calendriers s ’affichent dans un beau widget sur l ’accueil de votre Android, vos données sont accessibles à toutes heures et en tous lieux sur Google Drive, etc. Mais là, patatras : vous perdez tout. Comment ? Plusieurs types “d ’accidents” peuvent survenir.
Vous pouvez commettre une erreur vous-mêmes, en supprimant massivement des données via une mauvaise manipulation. Hop, tous vos mails sont supprimés, tous vos documents Google Docs s ’évanouissent dans l ’éther digital. Vous pouvez aussi, perdu dans les options de votre compte, le désactiver et le supprimer complètement. Hop, vous disparaissez de la toile parce que vous avez confondu “supprimer mon compte” avec “supprimer l ’historique des recherches”. Ou bien, votre fils, qui vient de chercher du porno sur Google, sur votre session ouverte, fera cette erreur pour vous.
Il est aussi possible d ’oublier son mot de passe, et de se retrouver cadenassé hors de votre compte, sans aucun moyen de s ’y connecter.
Vous pouvez vous le faire pirater, via du fishing par exemple. Ça arrive régulièrement, j ’en ai vu plusieurs exemples ces derniers mois. Vous ne vous méfiez pas de cet email qui vous demande de vous connecter à votre compte, vous entrez vos identifiants, et en quelques secondes votre compte vous est volé et un pirate ukrainien vous demande 500$ pour récupérer vos données.
Google peut, pour une raison inconnue, bloquer voire supprimer votre compte. Ils en ont le droit, ils possèdent vos données, ils peuvent vous en exproprier.C ’est rare, mais ça arrive. En général vous ne saurez jamais pourquoi, mais parfois, par chance, vous apprendrez qu ’en échangeant des photos de vos enfants prenant le bain, avec tante Huguette qui ne les a jamais vus, vous avez été considéré comme un dégueulasse gros pervers de pédophile par les robots de Google.
Dernière possibilité, Google étant soumis aux lois de la physique, ses services ne sont pas à l ’abris d ’une panne, d ’une erreur, d ’une perte de données, et vous pouvez en faire les frais. Il arrive qu ’en grosse panne matérielle fasse perdre les données des utilisateurs. C ’est rare, Google s ’en excuse publiquement à chaque fois, mais dire que ça n ’arrive qu ’aux autres n ’est pas une stratégie de protection efficace.
Je vais organiser mon plan de bataille suivant deux axes principaux : sécuriser l ’accès à son compte, puis sauvegarder ses données. Je détaillerai ce second axe dans un prochain billet.
Tout d ’abord, la gestion du mot de passe
En premier lieu, il faut que votre mot de passe ne soit pas trivial et que vous le sauvegardiez quelque part. Personnellement, j ’utilise Revelation, qui génère un mot de passe aléatoire et le sauvegarde dans un fichier chiffré. Google fournit quelques conseils dans son interface d ’assistance si vous voulez créer un mot de passe plus facile à retenir. Si vous ne voulez pas utiliser de gestionnaire de mot de passe (Revelation, Keepass, etc.), évitez tout de même d ’écrire votre mot de passe sur un papier. Une solution est d ’utiliser cette astuce qui permet de sauvegarder des données numériques sur papier, de manière “illisible” pour un n00b (le moldu du geek).
Ensuite, activez l ’authentification en deux étapes sur cette page. Le principe est simple : pour accéder à votre compte depuis un nouvel ordinateur, il faut non seulement fournir votre identifiant et votre mot de passe (normal), mais aussi recevoir un code de vérification par SMS ou par messagerie vocale sur votre téléphone fixe. Si c ’est votre ordinateur, il est possible d ’enregistrer la connexion pour 30 jours (donc il faut renouveler l ’opération tous les mois). Ainsi, si un pirate découvre votre mot de passe, il ne pourra rien en faire car il n ’a pas accès à votre téléphone. Les problèmes de fishing, d ’écoute de wifi non-sécurisé, ou de virus installés sur l ’ordinateur sont quasiment résolus avec ce système.
Conjointement, vous pouvez utiliser l ’application Google Authenticator qui générera des codes de vérification si vous n ’avez ni accès aux SMS (pas de réseau, à l ’étranger par exemple), ni à votre téléphone fixe.
Enfin, générez des codes de secours. Ces codes à usage unique, générés préventivement, viendront à votre secours si vous n ’êtes pas en présence de vos téléphones. Imprimez-les, gardez-en une copie à la maison, une autre dans votre portefeuille, et barrez-les au fur et à mesure que vous les utilisez. Si vous vous faites voler votre portefeuille, le voleur ne saura pas ce que sont ces codes, et même s ’il le savait, il ignorerait votre mot de passe donc ils ne lui seraient d ’aucune utilité.
Ensuite, la sécurisation du téléphone
Vous êtes un Google Fanboy, vous utilisez tous les services de Google, donc pour en tirer le maximum le mieux est d ’avoir un smartphone sous Android. Le problème, c ’est que votre téléphone devient d ’un coup une porte d ’entrée fragile vers vos données. Faites-vous voler cet appendice à votre vie digitale, et c ’est celle-ci qui tombe dans les mains du voleur. Pour s ’en prémunir, il faut prendre quelques précautions.
Tout d ’abord, veillez-bien à activer le code PIN à l ’allumage du téléphone. C ’est du basique et ça évitera de voir votre facture exploser en cas de vol par un ressortissant étranger.
Ensuite, activez un code de déverrouillage pour la sortie de veille. Sur Android, ça prend soit la forme d ’un code numérique (comme un code PIN), soit celle d ’un mot de passe alphanumérique “classique”, soit d ’un schéma. J ’avais initialement choisi cette troisième option, mais elle n ’est pas compatible avec l ’étape suivante, donc je me suis rabattu sur un code PIN. Cela complique la sortie de veille, mais au moins votre voleur n ’aura pas accès à vos applications, données et mots de passes contenus dans le téléphone (ça vaut autant pour vos données Google que pour les autres données).
Enfin, activez le chiffrement du téléphone. Ça permet, en cas de vol, d ’empêcher quiconque de lire vos données, même en accédant au téléphone de manière non conventionnelle (éteint, via USB, via une application de forensic, etc.). C ’est possible depuis Android 3.0 (donc il faut avoir Android 4 sur un téléphone), et ça utilise le code PIN ou le mot de passe de sortie de veille pour chiffrer/déchiffrer les données. C ’est dommage, parce qu ’un mot de passe indépendant et plus complexe, demandé au démarrage du téléphone, aurait été plus approprié, mais on se contentera d ’un code PIN ou d ’un mot de passe simple (parce qu ’un mot de passe trop compliqué ferait de chaque sortie de veille une véritable corvée).
On a désormais pris toutes les précautions possibles pour ne pas se faire piquer son compte Google. Mais un risque existera toujours, alors n ’oubliez pas que la sécurité ultime n ’est jamais atteinte mais se cultive au quotidien.