L'intraitable Autrichien qui veille à la sécurité des données chez Google

Google a un nouveau shérif qui veille sur les espaces sauvages d'internet: Gerhard Eschelbeck explique dans un entretien exclusif avec l'AFP comment il veut utiliser la taille du groupe pour contrer les cyber-pirates, qu'il s'agisse de spammeurs ou d'espions travaillant pour le compte d'un Etat.

"La taille de notre infrastructure informatique nous permet de traiter, d'analyser et de faire des recherches sur les menaces qui changent constamment, et de chercher à prédire ce qui se prépare", indique cet Autrichien dans sa première interview depuis son arrivée cette année à la tête de l'équipe d'environ 500 personnes chargée des questions de sécurité et de données privées chez Google. "La sécurité est une course permanente; la clé, c'est de combien on peut anticiper".

Les nombreux services et produits de Google dans le monde représentent autant de fronts à défendre; mais il a aussi à disposition un arsenal de puissants serveurs informatiques et une quantité massive de données. "Ce qui m'a vraiment enthousiasmé, c'était de faire de la sécurité à grande échelle", remarque Gerhard Eschelbeck.

Avant Google, il a travaillé pour Sophos et Qualys, et a breveté des technologies pour la sécurité des réseaux. Sa carrière dans la sécurité remonte à deux décennies avec une start-up montée quand il était étudiant en Autriche, puis rachetée par la société de sécurité informatique McAfee.

Il est parti en Californie, où McAfee est basée, pour y passer six mois. Il y est resté quinze ans, à créer et conseiller plusieurs start-up. Google l'a fait revenir dans la Silicon Valley après deux années passées à gérer l'ingénierie d'une entreprise de sécurité informatique à Oxford, au Royaume-Uni.

Lancer la chasse aux pirates gouvernementaux

Gerhard Eschelbeck s'est promis de trouver "absolument" n'importe quel pirate informatique qui s'en prendrait à son réseau, même s'il travaille pour la tentaculaire National Security Agency aux Etats-Unis ou les militaires chinois.

Le nombre de "vecteurs" d'attaque a également explosé, les cyber-pirates pouvant viser smartphones, applications, centres de données, systèmes d'exploitation...

"On peut prudemment estimer que toute propriété en ligne est attaquée en permanence", juge Gerhard Eschelbeck, se disant toutefois persuadé "de notre capacité à les identifier avant qu'ils ne deviennent une menace, et à les bloquer et les empêcher d'entrer dans notre environnement".

"En tant qu'expert en sécurité, je ne suis jamais à l'aise", reconnaît-il. "Mais j'ai une équipe très solide... J'ai confiance dans le fait que nous avons les bons mécanismes de défense réactifs comme proactifs." Il prône néanmoins une généralisation du cryptage des données, pour les courriels à des amis comme pour les photos stockées en ligne.

"J'espère qu'un jour tout le trafic sur internet sera crypté", assure-t-il. "On n'envoie pas une lettre à un ami dans une enveloppe transparente, et c'est pourquoi le cryptage pendant le transport est crucial." Il pense aussi que d'ici cinq ans, accéder à des comptes en ligne seulement avec un mot de passe sera du passé. Google commence ainsi à introduire des authentifications "à deux facteurs", demandant à l'utilisateur un code unique envoyé sur son téléphone en plus de son mot de passe.

Le groupe dit identifier 50.000 sites dangereux par mois, et 90.000 dits de "phishing", conçus pour tromper les gens et les inciter à divulguer leurs mots de passe ou d'autres informations personnelles.

Coopérer avec l'Europe pour harmoniser la vie privée

Gerhard Eschelbeck voit le monde de la sécurité en ligne comme plutôt noir ou blanc, mais son poste a aussi un aspect touchant aux données privées qui requiert des interprétations subjectives.

Google doit coopérer avec les autorités de protection des données en Europe, où il s'est retrouvé plusieurs fois sur la sellette, mais aussi ailleurs dans le monde, pour tenter d'harmoniser les protections des données privées avec les normes nationales. Et de préciser sa vision des choses: "la vie privée, pour moi, c'est protéger et sécuriser mes activités qu'elles me soient personnelles, et pas visibles par le monde entier. (...) Je crois vraiment qu'entre la sécurité et la vie privée, il y a davantage de chevauchements que de différences".

"Nous avons fait d'énormes efforts pour nous concentrer et mettre les bouchées doubles sur les problèmes de protection des données privées", assure-t-il encore. Comme d'autres grands groupes internet, Google publie régulièrement un décompte des demandes d'informations sur ses utilisateurs faites par des autorités gouvernementales, mais dit n'en satisfaire qu'environ 65%.