Google a annoncé mercredi le lancement d’un programme pilote dans lequel certains employés seront limités à des ordinateurs de bureau sans accès à internet. L’objectif de cette initiative est de réduire le risque d’attaques cybernétiques, selon des documents internes.L'entreprise avait initialement sélectionné plus de 2 500 employés pour participer, mais après avoir reçu des commentaires, l'entreprise a révisé le projet pilote pour permettre aux employés de se retirer, ainsi que de l'ouvrir aux bénévoles. La société désactivera l'accès à Internet sur certains ordinateurs de bureau, à l'exception des outils Web internes et des sites Web appartenant à Google, tels que Google Drive et Gmail. Certains travailleurs qui ont besoin d'Internet pour faire leur travail bénéficieront d'exceptions, a indiqué la société dans des documents.
De plus, certains employés n'auront pas d'accès root, ce qui signifie qu'ils ne pourront pas exécuter de commandes administratives ou faire des choses comme installer des logiciels.
Google exécute le programme pour réduire le risque de cyberattaques, selon des documents internes.
« Les Googlers sont des cibles fréquentes d’attaques », indique l’un des documents. Si le dispositif d’un employé de Google est compromis, les attaquants peuvent avoir accès aux données des utilisateurs et au code de l’infrastructure, ce qui pourrait entraîner un incident majeur et compromettre la confiance des utilisateurs, ajoute le document.
En coupant la plupart des accès à internet, Google s’assure que les attaquants ne peuvent pas facilement exécuter du code arbitraire à distance ou récupérer des données, explique le document.
Un contexte qui s'y prête
Le programme intervient alors que les entreprises font face à des cyberattaques de plus en plus sophistiquées. La semaine dernière, Microsoft a révélé que des agents du renseignement chinois avaient piraté des comptes de messagerie Microsoft appartenant à une vingtaine d’agences gouvernementales, dont le département d’État, aux États-Unis et en Europe occidentale, dans une violation « significative ».
Envoyé par Microsoft
Les enquêtes de Microsoft ont déterminé que Storm-0558 avait eu accès aux comptes de messagerie des clients à l'aide d'Outlook Web Access dans Exchange Online (OWA) et Outlook.com en falsifiant des jetons d'authentification pour accéder à la messagerie des utilisateurs.
L'acteur malveillant a utilisé une clé MSA acquise pour créer des jetons afin d'accéder à OWA et Outlook.com. Les clés MSA (consommateur) et les clés Azure AD (entreprise) sont émises et gérées à partir de systèmes distincts et ne doivent être valides que pour leurs systèmes respectifs. L'acteur a exploité un problème de validation de jeton pour se faire passer pour les utilisateurs d'Azure AD et accéder au courrier de l'entreprise. Nous n'avons aucune indication que des clés Azure AD ou toute autre clé MSA ont été utilisées par cet acteur. OWA et Outlook.com sont les seuls services où nous avons observé l'acteur utilisant des jetons créés à partir de la clé MSA acquise.
Microsoft a atténué la clé MSA acquise et notre télémétrie indique que les activités de l'acteur ont été bloquées. Nous avons pris les mesures proactives suivantes au cours de notre enquête :
L'acteur malveillant a utilisé une clé MSA acquise pour créer des jetons afin d'accéder à OWA et Outlook.com. Les clés MSA (consommateur) et les clés Azure AD (entreprise) sont émises et gérées à partir de systèmes distincts et ne doivent être valides que pour leurs systèmes respectifs. L'acteur a exploité un problème de validation de jeton pour se faire passer pour les utilisateurs d'Azure AD et accéder au courrier de l'entreprise. Nous n'avons aucune indication que des clés Azure AD ou toute autre clé MSA ont été utilisées par cet acteur. OWA et Outlook.com sont les seuls services où nous avons observé l'acteur utilisant des jetons créés à partir de la clé MSA acquise.
Microsoft a atténué la clé MSA acquise et notre télémétrie indique que les activités de l'acteur ont été bloquées. Nous avons pris les mesures proactives suivantes au cours de notre enquête :
- Microsoft a bloqué l'utilisation de jetons signés avec la clé MSA acquise dans OWA, empêchant ainsi toute autre activité de messagerie d'entreprise d'acteurs malveillants.
- Microsoft a terminé le remplacement de la clé pour empêcher l'auteur malveillant de l'utiliser pour falsifier des jetons.
- Microsoft a bloqué l'utilisation des jetons émis avec la clé pour tous les clients grand public concernés.
Éviter des fuites sur des projets en cours, notamment en matière d'IA
Google poursuit des contrats avec le gouvernement américain depuis le lancement d'une division du secteur public l'année dernière :
Envoyé par Google
Google Cloud soutient et collabore depuis longtemps avec les gouvernements dans de nombreuses régions du monde, notamment aux États-Unis, en Europe, en Asie-Pacifique, en Amérique latine et au Japon. Nous avons aidé des agences gouvernementales à moderniser leurs systèmes technologiques de base ; transformé la manière dont ils fournissent des services via des plateformes numériques aux citoyens ; fourni des solutions de sécurité pour aider les agences à se protéger contre les cyberattaques ; fourni des outils de communication, de collaboration et de productivité aux systèmes d'éducation et de santé ; et leur avons permis d'utiliser les données pour améliorer les systèmes financiers et d'autres infrastructures essentielles. Nous avons proposé des produits qui répondent aux besoins uniques du secteur public ; construit une force de vente dédiée, un écosystème de partenaires et une organisation de services ; et travaillé avec des partenaires pour apporter des solutions conjointes au gouvernement et aux établissements d'enseignement.
Aujourd'hui, nous étendons cet engagement aux États-Unis avec la création de Google Public Sector, une nouvelle division de Google qui se concentrera sur l'aide aux institutions du secteur public américain, y compris les gouvernements fédéraux, étatiques et locaux, ainsi que les établissements d'enseignement, à accélérer leur développement numérique métamorphoses.
Cette nouvelle division fonctionnera comme une filiale de Google LLC et se spécialisera dans l'apport des technologies Google Cloud, y compris Google Cloud Platform et Google Workspace, aux clients du secteur public américain. Google Public Sector fournira des produits et une expertise uniques, tels que la plate-forme de données et d'analyse de Google Cloud, des outils d'intelligence artificielle (IA) et d'apprentissage automatique (ML), afin que les institutions puissent mieux comprendre leurs données et automatiser les processus de base. Et la division offrira l'infrastructure ouverte hautement évolutive et fiable de Google Cloud, y compris le calcul, le stockage et la mise en réseau, afin que les agences gouvernementales puissent moderniser leurs systèmes d'information hérités et créer de nouvelles applications qui servent les citoyens avec une fiabilité et une évolutivité critiques.
Les experts du secteur public de Google aideront les clients du secteur public américain à utiliser les produits de cybersécurité avancés de Google Cloud pour protéger leurs utilisateurs, leurs applications et leurs données contre les cybermenaces croissantes. Nos experts aideront les agences et les établissements d'enseignement dans leur utilisation de Google Workspace pour permettre une communication et une collaboration sécurisées, et pour attirer de nouveaux employés au gouvernement grâce à l'utilisation de ces outils modernes. Et nous continuerons également d'investir dans la formation des employés du secteur public aux compétences numériques et cloud, et dans l'expansion de l'écosystème florissant de partenaires qui travaillent déjà avec Google Cloud pour créer des solutions qui répondent aux besoins urgents et croissants des organisations du secteur public américain.
Aujourd'hui, nous étendons cet engagement aux États-Unis avec la création de Google Public Sector, une nouvelle division de Google qui se concentrera sur l'aide aux institutions du secteur public américain, y compris les gouvernements fédéraux, étatiques et locaux, ainsi que les établissements d'enseignement, à accélérer leur développement numérique métamorphoses.
Cette nouvelle division fonctionnera comme une filiale de Google LLC et se spécialisera dans l'apport des technologies Google Cloud, y compris Google Cloud Platform et Google Workspace, aux clients du secteur public américain. Google Public Sector fournira des produits et une expertise uniques, tels que la plate-forme de données et d'analyse de Google Cloud, des outils d'intelligence artificielle (IA) et d'apprentissage automatique (ML), afin que les institutions puissent mieux comprendre leurs données et automatiser les processus de base. Et la division offrira l'infrastructure ouverte hautement évolutive et fiable de Google Cloud, y compris le calcul, le stockage et la mise en réseau, afin que les agences gouvernementales puissent moderniser leurs systèmes d'information hérités et créer de nouvelles applications qui servent les citoyens avec une fiabilité et une évolutivité critiques.
Les experts du secteur public de Google aideront les clients du secteur public américain à utiliser les produits de cybersécurité avancés de Google Cloud pour protéger leurs utilisateurs, leurs applications et leurs données contre les cybermenaces croissantes. Nos experts aideront les agences et les établissements d'enseignement dans leur utilisation de Google Workspace pour permettre une communication et une collaboration sécurisées, et pour attirer de nouveaux employés au gouvernement grâce à l'utilisation de ces outils modernes. Et nous continuerons également d'investir dans la formation des employés du secteur public aux compétences numériques et cloud, et dans l'expansion de l'écosystème florissant de partenaires qui travaillent déjà avec Google Cloud pour créer des solutions qui répondent aux besoins urgents et croissants des organisations du secteur public américain.
« Assurer la sécurité de nos produits et de nos utilisateurs est l'une de nos principales priorités », a déclaré un porte-parole de Google dans un communiqué. « Nous explorons régulièrement des moyens de renforcer nos systèmes internes contre les attaques malveillantes ».
La réaction des employés
Google affirme que le programme pilote vise à protéger les employés qui travaillent sur des projets sensibles ou qui ont accès à des données confidentielles. Parmi les employés concernés, on trouve des ingénieurs, des chercheurs, des analystes et des responsables de produits.
Sur les réseaux sociaux, certains employés ont exprimé leur mécontentement face à cette mesure, la qualifiant de « régressive » et de « contraire à la culture de Google ». Ils craignent également que cela nuise à leur productivité et à leur créativité.
« Je pense que c’est une mauvaise idée. Je ne vois pas comment je peux faire mon travail sans internet. Il m'arrive de consulter des sources externes pour résoudre des problèmes ou apprendre de nouvelles choses », a déclaré un ingénieur de Google qui a demandé à rester anonyme.
« J'ai l'impression qu'on me traite comme un enfant. Google est censé être une entreprise innovante et ouverte, pas une prison. Je pense que cela va créer un sentiment de méfiance et de frustration parmi les employés », a ajouté un autre employé.
D’autres employés ont accueilli favorablement le programme, estimant qu’il s’agit d’une mesure nécessaire pour assurer la sécurité de l’entreprise et de ses utilisateurs.
« Je comprends que cela puisse être gênant pour certains, mais je pense que c’est une bonne chose. Google est une cible de choix pour les cybercriminels et les espions. Nous devons faire tout notre possible pour protéger nos données et nos systèmes », a déclaré un responsable de produit. « Je ne pense pas que cela va affecter mon travail. Je peux toujours accéder aux outils internes dont j’ai besoin, et si j’ai besoin d’internet pour quelque chose, je peux demander une exception ou utiliser mon ordinateur portable personnel », a-t-il poursuivi.
Le programme pilote devrait durer six mois, après quoi Google évaluera son efficacité et son impact sur les employés. L’entreprise n’a pas précisé si elle envisage d’étendre le programme à d’autres équipes ou à tous les employés.
Sources : documents internes Google, Microsoft, Google Public Sector
Et vous ?
Que pensez-vous de la décision de Google de limiter l’accès à internet de certains employés ? Pensez-vous que cela va améliorer la sécurité de l’entreprise et de ses utilisateurs, ou au contraire, nuire à la productivité et à la créativité des employés ? Avez-vous déjà été confronté à une situation similaire dans votre travail ou dans votre vie personnelle ? Quelles sont les mesures que vous prenez pour protéger vos données et vos systèmes contre les cyberattaques ? Quels sont les avantages et les inconvénients d’utiliser internet pour votre travail ou vos loisirs ? 
