Compte Google

Il est possible de créer un compte depuis n'importe quel site internet ou application éditée par Google, via le menu Connexion. Il est alors proposé de créer une adresse Gmail, ou de renseigner une adresse électronique existante, qui sera l'identifiant du compte ^[a].

Un utilisateur doit s'authentifier au moyen d'un compte Google pour utiliser certains logiciels de Google comme Gmail, Google Hangouts, Google Meet et Blogger. D'autres services de Google ne nécessitent pas de se connecter, notamment Google Search, YouTube, Google Books, Google Finance et Google Maps. Toutefois, une authentification permet de débloquer certaines fonctionnalités de ces services.

Lors de la première utilisation d'un téléphone Android, l'utilisateur est invité à s'authentifier avec un compte Google. Cette étape peut être évitée mais est alors présentée comme essentielle, Google souhaitant associer les données collectées sur le téléphone à celles des autres outils et appareils. Si l'utilisateur choisit de ne pas s'y plier, l'impact est alors limité à l'impossibilité d'utiliser les données de son compte Google (favoris Chrome, événements agenda, ...) et le Play Store ; il faudra alors choisir un autre magasin d'applications pour pouvoir en télécharger.

Un fournisseur de sites web ou d'applications nécessitant une authentification peut déléguer cette fonction à Google. Lorsqu'un utilisateur tente d'accéder à un tel service, il est redirigé vers la page de connexion des comptes Google. Il y trouvera une explication de la raison pour laquelle il doit se connecter avec ses identifiants Google. Les données qui sont partagées avec le tiers sont également mentionnées. Une fois l'authentification réussie, l'utilisateur est redirigé vers l'application du tiers avec un jeton l'identifiant comme s'étant connecté via Google.

Google peut bloquer un compte pour diverses raisons, telles qu'une activité inhabituelle et suspecte^[1] ou le fait d'indiquer un âge trop jeune pour posséder un compte Google^[2]. Il existe différentes façons de demander le déblocage d'un compte bloqué.

Les comptes Google sont très prisés des pirates informatiques qui veulent y accéder pour plusieurs raisons :

• accéder aux adresses du carnet d'adresses pour vendre ces adresses à des polluposteurs ;
• balayer les messages enregistrés au moyen de robots pour y trouver des informations confidentielles ;
• utiliser le compte pour envoyer du pollupostage ;
• usurper l'identité du propriétaire pour envoyer des messages d'hameçonnage à ses contacts.

Pour contrer les pirates, Google a mis en place diverses protections pour les comptes Google.

Lors de la création du compte Google, l'utilisateur est invité à fournir une adresse électronique de récupération ou un numéro de téléphone afin de récupérer l'accès au compte en cas d'oubli du mot de passe, de blocage par Google à cause d'activités suspectes ou de piratage du compte. Dans certains pays, tels que les États-Unis, le Royaume-Uni et l'Inde, Google peut également exiger un numéro de téléphone portable pour envoyer un code de validation par SMS ou message vocal lors de la création d'un nouveau compte^[3],[4].

Google propose également une option de vérification en deux étapes - pour une sécurité supplémentaire contre le piratage - qui demande un code de validation chaque fois que l'utilisateur se connecte à son compte Google. Le code est soit généré par une application (Google Authenticator ou une application similaire), soit reçu de Google sous la forme d'un SMS, d'un message vocal ou d'un e-mail envoyé à un autre compte^[5],[6]. Les dispositifs de confiance peuvent être marqués pour sauter cette authentification de connexion en 2 étapes ^[7]. Lorsque cette fonction est activée, les logiciels qui ne peuvent pas fournir le code de validation (par exemple les clients IMAP et POP3) doivent utiliser un mot de passe unique de 16 caractères alphanumériques généré par Google au lieu du mot de passe normal de l'utilisateur^[8],[9].

Les utilisateurs qui recherchent un niveau de protection encore plus élevé, y compris les utilisateurs dont les comptes pourraient être des cibles attrayantes pour les pirates, comme les célébrités, les hommes politiques, les journalistes, les militants politiques et les personnes fortunées, peuvent adhérer au programme de protection avancée de Google. Ce programme exige que l'utilisateur achète deux clés USB U2F ; ces clés ne sont pas utilisées pour le stockage de données, mais pour la vérification d'identité. Les clés U2F sont utilisées pour fournir une vérification en deux étapes lors de la connexion. La seconde clé sert de clé de secours, au cas où la première serait perdue. Le programme de protection avancée comprend des mesures de sécurité supplémentaires pour protéger le compte de l'utilisateur, telles que des restrictions sur les applications auxquelles l'utilisateur peut donner accès à son compte, et un processus de vérification d'identité plus approfondi pour retrouver l'accès au compte en cas d'oubli du mot de passe^[10].

En 2012, un nouveau dispositif de sécurité a été introduit pour protéger les utilisateurs contre les attaques parrainées par un État. Lorsqu'une analyse de Google indique qu'un gouvernement a tenté de compromettre un compte, un avis est affiché avec la mention « Avertissement : nous pensons que des attaquants parrainés par un État peuvent tenter de compromettre votre compte ou votre ordinateur »^[11],[12].

Le compte Google propose une fonction Mon Activité permettant de visualiser l'historique des activités de l'utilisateur sur les différents logiciels appartenant à Google, et de les supprimer^[13].

Ces données (discussions, appareils utilisés, applications et sites internet visités, achats, lieux via la géolocalisation) sont utilisées par Google pour afficher des publicités personnalisées en faisant du ciblage comportemental. Il est possible de désactiver la personnalisation des annonces dans les paramètres du compte Google^[14].

Notes