Le géant de la recherche a ajouté quatre fonctions de sécurité pour les utilisateurs d'entreprise à sa suite hébergée d'applications intelligentes G Suite. L’arrivée de ces protections intervient peu après la publication du rapport Citizen Lab faisant état d’une campagne de phishing et de désinformation liée à la Russie utilisant les services de Google, Gmail en particulier. Les messages de Google annonçant les fonctions de sécurité ne font aucune mention du rapport Citizen Lab, mais plusieurs d’entre elles sont destinées à protéger contre des techniques de phishing couramment utilisées pour voler des données et des identifiants de connexion. Selon le rapport, cette campagne de phishing et de désinformation attribuée à des acteurs localisés en Russie a ciblé plus de 200 personnes dans 39 pays. Parmi les cibles, il cite « un ancien Premier ministre russe, des membres de cabinets ministériels en Europe et en Asie, des ambassadeurs, des officiers supérieurs, des PDG d'entreprises du secteur énergétique et des membres de la société civile ».

L'un des premiers courriels envoyés dans cette campagne mise sous surveillance par Citizen Lab contenait un faux avertissement de sécurité émanant prétendument de Google en rapport avec le compte Gmail de la victime. Le lien malveillant intégré dans le message utilisait une redirection hébergée par Google pointant vers une fausse page de connexion de messagerie Gmail qui servait à collecter les identifiants de compte de la victime. Parce que l'URL affichait un domaine Google, la redirection pouvait paraître légitime. Mercredi, cinq jours après la publication du rapport Citizen Lab, Google a annoncé le lancement de quatre fonctionnalités dans G Suite, dont l’une utilise l'apprentissage machine pour bloquer le spam et le phishing. Même si spamming et phishing ne sont pas forcément toujours associés l’un à l’autre, les fonctions de protection ajoutées par Google montrent que la lutte contre le phishing reste un combat permanent, ce que le géant de la recherche a compris depuis longtemps.

Retarder certains messages pour analyse

La mesure anti-Phishing mise en place par Google consiste à retarder certains messages (moins de 0,05 %) pour les analyser. Le processus est intégré avec Google Safe Browsing afin de détecter les URL suspectes. « Ces nouveaux modèles combinent divers techniques comme l'analyse de réputation et de similarité sur les URL, ce qui nous permet de générer des avertissements en cas de clic sur des liens utilisés soit dans le cadre d’une campagne de phishing soit pour diffuser des logiciels malveillants. Nos modèles s'adaptent à mesure que nous identifions de nouvelles sources malveillantes, plus rapidement qu’avec les systèmes manuels, et ils s'améliorent dans le temps », a ainsi expliqué Andy Wen, chef de produit senior Counter Abuse Technology, de Google.

G Suite a été également doté de technologies de sécurité, comme des protections basées sur DLP appelées « avertissements en cas de réponses externes non intentionnelles ». Ce système de protection déclenchera une alerte pour prévenir un utilisateur qui serait tenté de répondre à une personne dont l’adresse se situe en dehors du domaine de l'entreprise. Mais le système d'intelligence contextuelle ne blacklistera pas les contacts existants ou les personnes avec lesquelles l'utilisateur entretient des échanges réguliers. La dernière mise à jour de G Suite s’attaque aussi au problème des pièces jointes malveillantes. Selon Sri Somanchi, gestionnaire produit Gmail, « le système est capable d’établir des corrélations entre des milliers de signaux anti-spam, des pièces jointes et des informations heuristiques de l'expéditeur pour voir si les messages essayent de transmettre des variantes inconnues de logiciels malveillants ».

Si c’est le cas, la protection bloque les fichiers considérés à haut risque, comme des fichiers JavaScript et des exécutables. « Grâce à l’apprentissage machine, la précision avec laquelle Gmail détecte les courriels indésirables atteint 99 %, et ces nouvelles fonctions de sécurité nous ont permis de bloquer discrètement des centaines de millions de messages malveillants envoyés chaque jour pour réduire l’exposition aux menaces de nos utilisateurs », a ajouté Sri Somanchi. Les nouvelles fonctions de sécurité seront appliquées à toutes les éditions de G Suite d'ici la fin de la semaine.