À l’ère où les cybermenaces évoluent constamment et où les arnaques deviennent de plus en plus sophistiquées, la protection de nos données personnelles n’a jamais été aussi cruciale. Fabrice Jaubert, co-directeur du bureau Google Montréal et responsable de Navigation sécurisée (Safe Browsing), un système qui protège des milliards d’appareils dans le monde, nous livre ses meilleurs conseils pour naviguer en toute sécurité.
Dans cette entrevue franche et accessible, M. Jaubert aborde les bases souvent négligées de la cybersécurité, comme l’hygiène des mots de passe et l’authentification à deux facteurs, mais aussi les technologies de pointe comme les passkeys et l’intelligence artificielle au service de la protection des utilisateurs. Il partage également sa vision de l’avenir de la sécurité en ligne et ses recommandations pour les jeunes talents québécois qui souhaitent faire carrière dans ce domaine en pleine croissance.
L’ENTREVUE
Branchez-vous : Si vous aviez un seul conseil pour améliorer instantanément sa sécurité en ligne, lequel donneriez-vous ?
Fabrice Jaubert : Je dirais l’hygiène des mots de passe. Éviter les mots de passe faciles à deviner et surtout utiliser des mots de passe uniques par site. Ne pas partager ses mots de passe. La conséquence pratique, c’est d’employer un gestionnaire de mots de passe : il permet d’avoir beaucoup de mots de passe complexes sans devoir s’en souvenir un par un.
Branchez-vous : Je pense à nos parents qui ont des dizaines de comptes. Certains recyclent « Montréal », puis « MontréalGoogle », etc. C’est problématique, non ?
Fabrice Jaubert : Oui, absolument. Nous avons des comptes sur des sites très sécurisés comme les banques, et d’autres beaucoup moins protégés, par exemple le site du club de quartier. Si le petit site se fait pirater et que le mot de passe est identique ou trop proche de celui de la banque, on met en péril un compte critique. Il faut donc des mots de passe vraiment différents, idéalement aléatoires avec 12 caractères ou plus. Le gestionnaire rend ça beaucoup plus simple au quotidien.
Autre avantage du gestionnaire : il renseigne automatiquement le champ de mot de passe sur le bon site. Si on tombe sur une page d’arnaque qui imite sa banque, le gestionnaire ne proposera pas d’auto-remplir. Ce « temps d’arrêt » alerte l’utilisateur.
Branchez-vous : Et pour la synchronisation entre téléphone et ordinateur ?
Fabrice Jaubert : Selon le gestionnaire, mais beaucoup synchronisent très bien entre appareils. On évite ainsi le vieux carnet papier de mots de passe.
Branchez-vous : Pourquoi parle-t-on davantage de cyberattaques aujourd’hui qu’avant ? Où en est-on par rapport à l’an dernier ?
Fabrice Jaubert : C’est un problème sans solution finale : il y aura toujours des attaques. Les méthodes changent, de nouvelles apparaissent. On voit parfois des montants très médiatisés, par exemple lors d’attaques étatiques, qui attirent l’attention, mais il ne faut pas oublier le quotidien. Pour le citoyen moyen, les défenses se sont améliorées grâce au filtrage des courriels et des SMS, donc on ne « voit » pas tout. On observe des pics quand une nouvelle technique contourne temporairement les protections… puis cela retombe.
Branchez-vous : Cela ressemble au dopage sportif ! Côté mots de passe, quels sont les pièges les plus courants ? Et le conseil le plus simple ?
Fabrice Jaubert : Le classique « nom du chien + 123 ». Et surtout, beaucoup n’activent pas le deuxième facteur d’authentification, la 2FA. Même un excellent mot de passe peut être compromis ; la 2FA élimine déjà une grande partie des risques. L’idéal, c’est une application ou une clé matérielle ; par SMS c’est moins fort, mais mieux que rien. Et j’ajoute : les clés d’accès ou passkeys, c’est très robuste. Si tout le monde utilisait ça pour les comptes importants, il y aurait beaucoup moins d’attaques.
Branchez-vous : Passkeys, c’est quoi par rapport à l’application d’authentification ?
Fabrice Jaubert : Les passkeys peuvent passer par un trousseau ou un gestionnaire, et sont souvent intégrés. Par exemple, pour ma banque, je m’authentifie avec mon empreinte digitale sur mon téléphone. La clé est liée à l’appareil ; même si quelqu’un la volait numériquement, il ne pourrait pas l’utiliser ailleurs. Il faudrait me voler le téléphone et mon empreinte…
Branchez-vous : Les arnaques par texto et courriel sont de plus en plus personnalisées. Quels sont les deux signaux d’alarme qui ne trompent jamais ?
Fabrice Jaubert : Un : l’urgence. « Agissez dans les 5 minutes », « votre colis va être retourné »… Deux : l’invraisemblance. Est-ce plausible que le gouvernement du Canada m’envoie un SMS pour mes impôts ? Il faut prendre un temps de recul, même si beaucoup de messages restent plausibles comme les notifications de colis ou de péage.
Branchez-vous : Pour les appels et SMS, je filtre avec mon Pixel. Est-ce que le signalement remonte et aide les défenses ?
Fabrice Jaubert : Oui. Signaler un numéro comme indésirable côté téléphone, et dans Gmail signaler comme hameçonnage ou spam, c’est très utile. Cela renvoie des signaux qui nous aident à améliorer les algorithmes quand quelque chose échappe aux filtres.
Branchez-vous : Quel serait votre conseil « familial » pour protéger autant les jeunes que les aînés sous le même toit ?
Fabrice Jaubert : Les règles de base sont les mêmes, mais on adapte le ton. Pour les jeunes : verrouiller les comptes, ne pas partager les mots de passe entre amis. Pour les aînés : insister sur l’hygiène avec des mots de passe uniques, déployer la 2FA même si c’est un petit apprentissage au début, et les sensibiliser aux messages d’urgence et aux demandes invraisemblables. Avec mes parents, j’ai imposé la 2FA ; maintenant, c’est naturel pour eux.
Branchez-vous : Je reviens à votre rôle : en deux mots, comment Navigation sécurisée protège concrètement les utilisateurs ?
Fabrice Jaubert : Notre rôle, c’est d’identifier les sites dangereux : distribution de malware, vol d’identifiants, fraudes de ce type. Les sites de streaming illicites ne relèvent pas de notre mandat sauf si le but final est, par exemple, de voler la carte de crédit de l’utilisateur. Pour être efficaces, on concentre le mandat sur ce qui nuit directement aux personnes.
Pour prévenir les fraudes, au-delà de l’hygiène des mots de passe, je recommande d’activer la « Protection renforcée » de Navigation sécurisée dans Chrome. Par défaut, la protection standard est activée, mais le mode renforcé augmente la sécurité d’environ 25 %. L’utilisateur nous autorise à traiter un peu plus de signaux ; cela protège immédiatement la personne qui l’active et nous aide à repérer plus vite de nouvelles menaces, ce qui bénéficie à tous.
Branchez-vous : En cas de fraude, que faire dans l’heure ? À qui signaler ?
Fabrice Jaubert : Changer immédiatement le mot de passe et activer la 2FA. S’il s’agit d’un compte bancaire, appeler la banque. Déposer un rapport de police peut aider à agréger les cas. Ces signaux nous permettent aussi d’orienter nos efforts quand un nouveau type d’arnaque explose. On a beaucoup travaillé sur les arnaques de faux colis récemment.
Branchez-vous : Quel rôle joue l’IA dans Safe Browsing sans ralentir la navigation ?
Fabrice Jaubert : Il y a plusieurs couches. Un peu d’IA fonctionne directement sur l’appareil pendant la navigation, mais seulement sur les appareils capables de le faire sans ralentissement. Le gros des algorithmes tourne de façon asynchrone sur nos serveurs et alimente des listes consultées au moment de la navigation. On utilise des modèles « classiques » et de l’IA générative plus récente. Pour l’utilisateur, la navigation ne doit pas en souffrir.
Branchez-vous : Et face au spoofing IA comme le clonage de voix ou les deepfakes visuels ?
Fabrice Jaubert : Je parlerai surtout de mon domaine. Un site de phishing, c’est déjà une forme de « deepfake » du web : une imitation de votre banque. L’IA peut faciliter la création rapide de copies de site très convaincantes, mais notre travail consiste depuis des années à détecter ces imitations et à les bloquer.
Branchez-vous : L’avenir de l’authentification : allons-nous vers un monde sans mot de passe ?
Fabrice Jaubert : C’est ce qu’on souhaite pour les comptes sensibles grâce aux passkeys. Mais il restera des cas où le mot de passe subsistera comme des petits sites ou des appareils non compatibles. J’espère que, d’ici quelques années, pour les comptes importants comme les banques, on n’aura plus besoin de mots de passe traditionnels.
Branchez-vous : Et dans 10 à 15 ans ?
Fabrice Jaubert : La sécurité évolue sans cesse. On ne fait plus aujourd’hui ce qu’on faisait il y a 16 ans, mais la base reste la même : protéger les gens. Les techniques changent, on s’adapte en continu.
Branchez-vous : Comme co-directeur du bureau Google Montréal, de quoi êtes-vous le plus fier ?
Fabrice Jaubert : De plusieurs choses. On a une très bonne équipe de recherche en IA. Une grosse équipe Chrome et qui est un navigateur de très haute qualité. Et l’équipe performance de Chrome est ici à Montréal, ce qui contribue à ce que Chrome reste rapide et efficace. Côté sécurité, je suis aussi fier de ce qu’on a accompli : Navigation sécurisée protège des milliards d’appareils dans le monde.
Branchez-vous : Quel conseil donneriez-vous aux jeunes talents au Québec qui veulent avoir un impact en cybersécurité ?
Fabrice Jaubert : Excellent domaine, la demande est durable. Il existe des cours, des programmes post-formation et des certificats de carrière. Nous en offrons pour des reconversions. Quand j’embauche, ce ne sont pas toujours des spécialistes en sécurité au départ : des informaticiens généralistes peuvent se spécialiser en sécurité dans l’équipe. C’est surtout une question d’intérêt.
