On ouvre Google Mon Activity pour la première fois, et la page affiche des mois de recherches, de vidéos regardées et de trajets enregistrés. Le réflexe habituel consiste à tout supprimer en vrac. Le problème, c’est que ça ne suffit pas à sécuriser le compte : des accès tiers restent actifs en arrière-plan, invisibles depuis cette page.
Jetons OAuth et accès tiers : le point mort de Google Mon Activity
La plupart des guides sur la sécurité Google commencent par le mot de passe ou la validation en deux étapes. On va prendre le problème à l’envers, parce que c’est là que les débutants se font piéger.
A lire en complément : Recherches Google : qui peut les voir et comment ?
Quand on autorise une application tierce à accéder à son compte (un client mail, un outil de productivité, un jeu mobile), Google génère un jeton OAuth. Ce jeton fonctionne comme un passe : il reste valide même après un changement de mot de passe. Si le compte a été compromis et qu’on se contente de modifier le mot de passe, l’intrus conserve son accès via le jeton.
Google recommande explicitement de révoquer tous les jetons OAuth 2.0 et les mots de passe d’application lors de la sécurisation d’un compte compromis. Pour un utilisateur lambda, la manipulation se fait depuis la page « Sécurité » du compte Google, rubrique « Applications tierces ayant accès au compte ».
A découvrir également : Sauvegarder ou supprimer Mon historique Google : que choisir pour bien protéger sa vie privée ?
On y trouve souvent des applications qu’on a oubliées depuis longtemps. Supprimer celles qu’on n’utilise plus revient à retirer des doubles de clés distribuées à des inconnus.
Suppression de l’historique dans Google Mon Activity : ce qu’on oublie de paramétrer
La page myactivity.google.com affiche l’historique des recherches, des pages web visitées et des vidéos YouTube. Supprimer manuellement ces données est possible, mais ça ne change rien si l’enregistrement automatique reste activé.
Configurer la suppression automatique
Google propose de supprimer automatiquement l’activité au-delà de 3, 18 ou 36 mois. On accède à ce réglage depuis les paramètres d’activité web et applications. Le choix de 3 mois convient à la majorité des utilisateurs qui ne veulent pas conserver un historique long.
Il faut répéter cette opération pour chaque type de données séparément :
- Activité sur le web et les applications (recherches Google, navigation Chrome, interactions avec les services Google)
- Historique des positions (trajets, lieux visités, enregistrés via Google Maps)
- Historique YouTube (vidéos regardées et recherches effectuées sur la plateforme)
Chaque catégorie a son propre interrupteur. On peut désactiver complètement l’enregistrement pour l’une sans toucher aux autres. Les retours varient sur ce point : certains préfèrent garder l’historique YouTube actif pour les recommandations, tout en coupant l’historique de position.
Applications moins sécurisées : un accès supprimé par Google en 2024
Jusqu’à récemment, on pouvait connecter des applications tierces à Gmail avec un simple identifiant et mot de passe (protocole IMAP/SMTP classique). Google a désactivé définitivement ce type de connexion le 30 septembre 2024 pour les comptes Workspace et Cloud Identity.
Concrètement, si on utilise un vieux client mail ou un outil d’envoi qui n’a pas été mis à jour, la connexion ne fonctionne plus. Le remplacement impose d’utiliser OAuth2 ou des mots de passe d’application générés depuis les paramètres de sécurité du compte.
Vérifier qu’aucun accès obsolète ne subsiste
Dans la rubrique « Sécurité » du compte Google, la section « Accès des applications moins sécurisées » devrait indiquer que cette option est désactivée. Si on utilise encore un logiciel qui demande un mot de passe classique pour Gmail, il faut migrer vers une application compatible OAuth2 ou générer un mot de passe d’application dédié depuis les paramètres du compte.
Check-up Sécurité Google : lire les alertes par couleur
Google intègre un outil de diagnostic accessible depuis myaccount.google.com. On y arrive aussi en cliquant sur sa photo de profil puis sur « Actions recommandées ». Le système utilise un code couleur pour hiérarchiser les problèmes :
- Rouge : notification urgente, par exemple une connexion suspecte détectée ou un mot de passe compromis dans une fuite de données
- Jaune : action à traiter rapidement, comme une vérification en deux étapes non activée
- Bleu : conseil de sécurité, suggestion d’amélioration sans urgence
- Bouclier vert avec coche : aucun problème détecté
Le piège pour les débutants consiste à ignorer les alertes jaunes. Elles ne bloquent rien, mais elles signalent des failles exploitables. Activer la validation en deux étapes supprime la majorité des alertes jaunes en une seule action.
Éviter les erreurs de compte sur un appareil partagé
Sur un ordinateur familial ou un poste de travail, on se retrouve vite connecté à plusieurs comptes Google en parallèle. L’activité de navigation peut alors s’enregistrer sur le mauvais compte sans qu’on s’en rende compte.
Pour limiter ce risque, on vérifie quel compte est actif en cliquant sur l’avatar en haut à droite de n’importe quel service Google. Le compte principal apparaît en premier. Si on utilise Chrome, chaque profil de navigateur peut être associé à un seul compte Google, ce qui isole complètement les historiques et les données de navigation.
En environnement professionnel, les administrateurs Workspace peuvent aller plus loin en bloquant la connexion aux comptes personnels sur les navigateurs de l’entreprise, via une politique Chrome et l’en-tête X-GoogApps-Allowed-Domains. Ce mécanisme empêche un salarié de consulter son Gmail personnel sur le poste de travail, réduisant les risques de fuite de données.
La page Google Mon Activity ne remplace pas un audit complet des accès au compte. Révoquer les jetons OAuth, configurer la suppression automatique par catégorie et traiter les alertes du Check-up Sécurité couvrent les trois angles que la simple consultation de l’historique ne règle pas. Un passage trimestriel sur ces réglages prend une dizaine de minutes et ferme les accès que le changement de mot de passe seul ne coupe pas.