Questions fréquentes sur la protection contre l'hameçonnage avec Alerte mot de passe

Vous trouverez ci-dessous les questions fréquemment posées à propos d'Alerte mot de passe, extension permettant de lutter contre l'hameçonnage. Pour connaître la procédure d'installation de Password Alert, consultez l'article Prévenir les attaques d'hameçonnage à l'encontre de vos utilisateurs ou Éviter l'hameçonnage avec Password Alert.

En quoi consiste le service Alerte mot de passe ?

Alerte mot de passe est une extension Chrome qui permet aux utilisateurs de G Suite et de Cloud Identity d'éviter les attaques d'hameçonnage. L'extension détecte si des utilisateurs saisissent leur mot de passe Google sur des sites Web autres que la page de connexion Google.

Les administrateurs peuvent également déployer le serveur Alerte mot de passe pour permettre d'effectuer un audit des alertes, d'envoyer ces dernières par e-mail et d'obliger un utilisateur à modifier son mot de passe Google s'il le saisit sur un site Web ne faisant pas partie des sites de confiance.

Qu'est-ce que la règle Alerte mot de passe Chrome et qu'apporte-t-elle ?

Vous pouvez bénéficier de nombreuses fonctionnalités de l'extension Chrome Alerte mot de passe via la règle Alerte mot de passe Chrome. Cette dernière, intégrée de façon native à Chrome, permet de déployer des règles et de générer des rapports de façon uniforme sur toutes les plates-formes compatibles avec Chrome.

La règle Alerte mot de passe Chrome peut être mise en œuvre au sein de votre organisation même si vous n'utilisez pas G Suite ou Cloud Identity. Actuellement, cette règle ne dispose pas d'un serveur Alerte mot de passe permettant d'effectuer un audit des alertes et de les paramétrer.

Vos utilisateurs et vous pouvez bénéficier de deux ensembles d'alertes si vous définissez à la fois l'extension Chrome et la règle Alerte mot de passe Chrome. Désactivez l'extension pour éviter de recevoir des alertes en double.

Puis-je réutiliser le mot de passe de mon compte Google géré pour d'autres comptes ?

Non. La saisie du mot de passe de votre compte Google géré (par exemple, G Suite ou Cloud Identity) sur un site autre que Google déclenche l'outil Alerte mot de passe. Vous recevez une alerte à chaque première utilisation du mot de passe pour un autre compte. Vous pouvez soit réinitialiser le mot de passe, soit ignorer l'alerte pour ce compte.

Les utilisateurs de Gmail ont la possibilité de désactiver toutes les alertes d'un site Web donné. Si vous utilisez le même mot de passe sur plusieurs comptes et qu'un compte vient à être piraté, il y a de grandes chances pour que les personnes à l'origine du piratage tentent de se connecter à vos autres comptes avec le mot de passe qu'ils ont découvert.

Le service Alerte mot de passe fonctionne-t-il si je n'utilise pas Chrome ?

Ce service est destiné aux utilisateurs de G Suite et de Cloud Identity, et n'est pour l'instant disponible qu'en tant qu'extension dans le navigateur Chrome. En tant qu'administrateur, vous pouvez déployer Alerte mot de passe au sein de vos domaines à l'aide des règles Chrome, et configurer une instance Google App Engine pour contrôler les alertes. Si vous utilisez d'anciens navigateurs, reportez-vous à l'article consacré à l'extension Legacy Browser Support de Chrome.

Le service Alerte mot de passe fonctionne-t-il avec les connexions multiples ?

Alerte mot de passe se sert du profil Chrome actif pour identifier le compte protégé. Par conséquent, si vous voulez l'installer pour plusieurs comptes Google, vous devez utiliser plusieurs profils Chrome.

Quand l'outil Alerte mot de passe commence-t-il à fonctionner ?

Une fois l'extension installée, Alerte mot de passe fonctionne à partir du moment où vous vous connectez à l'adresse "accounts.google.com". JavaScript® doit être activé et les utilisateurs de comptes Google gérés doivent être connectés à Chrome.

Comment Alerte mot de passe reconnaît-il le mot de passe ?

Chaque fois que vous vous connectez à votre compte Google, Alerte mot de passe accède temporairement à votre mot de passe et en enregistre une empreinte numérique (séquence de bits réduite) avec salage sur votre stockage Chrome local. Cette empreinte est ensuite comparée à chaque mot de passe que vous saisissez sur un site Web autre que "accounts.google.com", ou, pour les domaines Google Cloud, sur un site autre que ceux figurant dans la liste blanche de l'administrateur.

Quels autres outils puis-je utiliser pour protéger mon mot de passe ?

Les utilisateurs Gmail peuvent utiliser une clé USB de sécurité FIDO U2F (Universal 2nd Factor), très efficace pour lutter contre l'hameçonnage de mots de passe.

Quelles sont les différences entre Alerte mot de passe et les fonctionnalités de navigation sécurisée incluses dans Chrome ?

Chrome tente de détecter les pages d'hameçonnage en amont, mais il peut arriver qu'une fausse page de connexion passe entre les mailles du filet. Alerte mot de passe détecte toute saisie de votre mot de passe sur un site Web autre que "accounts.google.com", ou, pour les domaines Google Cloud, sur un site autre que ceux figurant dans la liste blanche de l'administrateur.

Alerte mot de passe accepte-t-il les mots de passe Google comprenant moins de huit caractères ?

Non. Avec Alerte mot de passe, les mots de passe doivent comporter au moins huit caractères. Vous devez modifier tout ancien mot de passe Google en comportant moins.

Alerte mot de passe enregistre-t-il la saisie ?

Non. Alerte mot de passe n'enregistre pas vos saisies sur disque et ne les transmet à aucun système distant.

L'application Alerte mot de passe est-elle requise pour les clients Google Cloud?

Non. L'application Alerte mot de passe est uniquement requise pour effectuer un audit des alertes, envoyer les alertes par e-mail ou obliger un utilisateur à modifier le mot de passe de son compte Google s'il le saisit sur un site Web ne faisant pas partie des sites de confiance.

J'ai paramétré Alerte mot de passe pour envoyer des rapports à mon application Alerte mot de passe. Mes utilisateurs ne reçoivent plus de notifications sous forme de bannière. Pourquoi ?

Une fois qu'Alerte mot de passe est configuré pour envoyer des rapports à l'application, les notifications sont uniquement envoyées par e-mail au groupe responsable de la sécurité et/ou à l'utilisateur concerné. Reportez-vous à la section Mise en application dans le fichier de configuration de l'application Alerte mot de passe pour plus de détails.

Quelle est la différence entre l'application Alerte mot de passe et l'instance App Engine ?

L'application Alerte mot de passe est gérée par Google tandis que l'instance App Engine est gérée par votre équipe.

Quelle est la différence entre un état d'hôte désactivé ("Mute") et un état d'hôte autorisé ("Allowed") dans la console d'administration ?

Allowed : l'équipe responsable de la sécurité ne reçoit pas d'alerte. De plus, le mot de passe de l'utilisateur n'est pas désactivé. Cet état permet de mettre un hôte en liste blanche de façon à pouvoir réutiliser le mot de passe.

Mute : l'équipe responsable de la sécurité ne reçoit pas d'alerte, mais le mot de passe de l'utilisateur est désactivé. En principe, les noms d'hôtes sont désactivés lorsque l'utilisation d'un mot de passe est détectée sur un site Web légitime, par exemple "login.yahoo.com".

Unknown : l'équipe responsable de la sécurité reçoit une alerte et le mot de passe de l'utilisateur est désactivé. Il s'agit de l'état par défaut pour tous les hôtes à l'exception de l'adresse "accounts.google.com" et de l'URL d'authentification unique définie dans managed_policy_values.txt (SSO_URL).

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?