Kate Bevan   31 janvier 2018

Qui a accès à vos données? Picture credit: Blogtrepreneur / Flickr

Les piratages sont devenus un phénomène quotidien ou presque. Il semble parfois difficile de savoir comment se protéger en ligne. Voici toutefois quelques précautions simples à prendre pour ne pas être une proie facile.

Attention aux mots de passe

Si l’un de vos comptes a été piraté, savez-vous comment vous l’apprendrez ? Vous recevrez en principe une alerte du gestionnaire de l’application (comme l’a fait Yahoo  il y a quelques mois). Mais si vous voulez vérifier par vous-même si vous avez été victime d’un piratage par le passé, allez sur Have I Been Pwnd, site exploité par l’expert en sécurité Troy Hunt, pour le savoir vite.

Il vous suffit d’y saisir votre adresse mail pour savoir si celle-ci figure dans la liste des éditeurs de messageries mail impactés ; ce site en recense 245 au total. Il vous propose également de paramétrer une alerte pour être prévenu en cas de nouveau piratage.

Que faire si mon adresse mail a été piratée ? Et comment me protéger à l’avenir ?

Changez immédiatement votre mot de passe – et veillez à en choisir un qui sera différent pour chaque site où vous avez un compte utilisateur. Sont ainsi concernés votre messagerie mail, Facebook, les plates-formes de réseaux sociaux, les sites de banque en ligne et aussi WorldRemit.

Chaque mot de passe doit être assez fort : n’optez pas pour des mots faciles à deviner tels que le nom de votre animal de compagnie, de votre rue ou de votre équipe de foot favorite. Il faut également recourir à une combinaison de caractères : mélange de minuscules et de majuscules, chiffres et caractères spéciaux.

Oubliez les mots de passe substitutifs : les pirates connaissent cette astuce, comme par exemple choisir « Pa$$w0rd » au lieu de « password ».

Il est possible de choisir une citation, par exemple, facile à mémoriser – en évitant celles qui sont trop connues. Les pirates ont des listes de mots de passe courants, grâce auxquelles ils pourront cracker le vôtre en quelques secondes s’il est trop faible. Une phrase un peu longue telle que « la porte de mamie est bleue est blanche » sera facile à mémoriser mais complexe à pirater à l’aide d’une attaque par force brute.

Choisir un mot de passe complexe et unique pour chaque site utilisé n’est pas une tâche facile. Il est conseillé de se servir d’un gestionnaire de mots de passe, comme par exemple LastPass, Dashlane, KeePass, 1Password ou l’un des nombreux autres disponibles sur le marché.

Ces applications créent un coffre-fort chiffré où vous stockez vos mots de passe ; elles en génèrent un, très fort et unique, pour chaque site et proposent un système d’extension pour les applications mobiles et les navigateurs afin de vous faciliter la vie. Il vous suffit de créer un mot de passe maître fort (et de le mémoriser).

Ne faites pas cela avec vos mots de passe! Picture credit: Lulu Hoeller /Flickr

Authentification à double facteur

Vous avez défini un mot de passe fort pour chaque application et site web utilisé où vous disposez d’un compte utilisateur, en les protégeant à l’aide d’un gestionnaire de mots de passe ? Vous pouvez passer à l’étape suivante, à savoir activer la technologie d’authentification à double facteur (2FA).

Avec ce système, un site web utilisé vous alerte si un tiers tente de se connecter à votre compte depuis un téléphone ou un ordinateur que vous n’avez jamais utilisé – cette technique complique la tâche aux pirates, qui ont du mal à se connecter à votre compte même s’ils disposent de votre mot de passe.

Une fois l’authentification à double facteur activée, le site web vous envoie un message – en général un SMS – contenant un code à saisir si vous essayez de vous connecter depuis un nouvel appareil ou un navigateur inhabituel. Ainsi, impossible pour un pirate de pirater votre compte s’il n’a pas votre téléphone en sa possession.

Par contre, si vous perdez votre téléphone,  vous ne pourrez pas profiter de cette vérification par SMS. Il est donc préférable de prévoir un autre moyen pour récupérer ce code de contrôle. Les banques se servent de porte-clés spécifiques générateurs de codes, mais vous pouvez aussi opter pour un système similaire tel qu’une Yubikey.

Si un code reçu par SMS suffit généralement, mieux vaut réfléchir à la façon dont vous pourrez vous connecter à vos comptes si d’aventure vous n’avez pas votre téléphone sous la main...

Mettez à l’abri vos informations personnelles

Les sites internet vous demandent souvent des informations personnelles que personne d’autre  à part vous ne connaît. Comme par exemple le nom de jeune fille de votre mère, le nom de votre premier animal de compagnie ou instituteur, afin de vérifier votre identité si vous cherchez à réinitialiser votre mot de passe.

Ne donnez jamais ces informations à personne. Des quiz, sur Facebook, vous demandent par exemple quel serait votre nom si vous étiez un extra-terrestre : ils vous poussent alors à indiquer le nom de votre premier animal de compagnie en le combinant à un personnage de votre série TV favorite. Ce sont précisément les informations convoitées par les pirates. Alors si vous venez de dire à vos contacts sur Twitter ou Facebook que votre nom martien serait Lulu Dalek, vous avez peut-être vendu la mèche auprès d’un pirate en lui remettant des éléments qu’il cherchera à exploiter pour réinitialiser votre mot de passe dans votre dos.

N’oubliez pas que vous avez le droit de mentir à ces petits jeux sur les réseaux sociaux ! En cas de demande de réinitialisation de votre part, les sites se préoccuperont seulement de recevoir la bonne réponse de contrôle, celle que vous avez fournie en créant votre compte.

Au lieu d’indiquer le nom de jeune fille de votre mère, celui de votre premier animal et de votre équipe de foot sur tous les sites sur lesquels vous vous inscrivez, donnez des réponses différentes. De nombreux gestionnaires de mots de passe pourront conserver ces informations pour vous, afin de vous éviter de les mémoriser.

N'utilisez pas le nom de votre animal de compagnie comme mot de passe. Picture credit : Kate Bevan

Protégez votre téléphone

Attention : être vigilant avec vos mots de passe ne servira à rien si vous ne sécurisez par votre téléphone. Il est devenu notre fidèle compagnon, utilisé pour tout, de l’envoi des mails aux messages instantanés en passant par la banque en ligne et les réseaux sociaux. Le perdre sera une catastrophe si vous ne l’avez pas verrouillé.

Le code PIN est la base pour sécuriser un téléphone, idéalement un code à 6 chiffres ou plus si vous le pouvez. Assurez-vous qu’il ne peut être facilement deviné par une tierce personne, ce qui exclut d’emblée votre date de naissance.

Les technologies biométriques ne sont pas parfaites, mais si votre smartphone prend en charge la reconnaissance faciale ou digitale, activez-la : cela sera dissuasif pour un pirate dans la plupart des cas.

Si le pire venait à survenir, vous devez être en mesure d’effacer à distance le contenu de votre smartphone : les modèles sous Android et iOS le permettent.

Huawei

Votre empreinte digitale est un bon moyen de verrouiller votre téléphone portable. Picture credit: Karlis Dambrans / Flickr

Personne n’aime l’idée d’être piraté un jour, mais si vous suivez ces conseils, vous n’aurez rien à craindre même si on vous vole des informations personnelles sensibles.