Je travaille avec de nombreuses organisations à travers le monde pour les aider à améliorer leur cybersécurité. J’écris beaucoup d’articles sur des blogs, j’anime des conférences et des formations sur ce sujet depuis plusieurs années. Dans le cadre de mes activités de conseil, je me concentre presque toujours sur la gouvernance et le management de la sécurité des systèmes d’information en entreprise. Cela concerne entre autres les mots de passe, la protection des données personnelles, etc.. C’est bien pour cela que mes clients ont recours à mes services. Cependant, il est tout aussi important de penser à la cybersécurité dans nos vies personnelles.
Dans cet article, j’aborderai trois sujets essentiels :
- Gestion de vos comptes d’utilisateurs et mots de passe
- Protection de vos ordinateurs, tablettes et téléphones
- Protection vos appareils IoT (objets connectés)
Dans un prochain article, j’aborderai le quatrième sujet: « Protection de vos informations personnelles ». Cet article est déjà très long et vous devrez donc attendre un prochain post pour que j’aborde ce sujet sensible. Il mérite beaucoup plus que quelques lignes.
1. Gérez vos comptes utilisateurs et vos mots de passe
Chaque semaine, nous découvrons une nouvelle faille majeure dans la sécurité des informations. Les données personnelles de millions de personnes sont ainsi divulguées. Lors d’une récente attaque contre les hôtels Marriott, les pirates se sont emparés d’informations personnelles concernant des centaines de millions de clients (entre 350 et 500 millions selon les estimations). Cela devrait vous inciter à la plus grande prudence quand à l’utilisation d’internet au quotidien.
Définissez bien votre stratégie de gestion de mots de passe
Lorsqu’une violation survient, les pirates informatiques s’emparent généralement d’une liste de noms d’utilisateurs et de mots de passe utilisés sur les systèmes violés. Souvent ils récupèrent également des informations personnelles et financières qu’ils pourront ensuite utiliser ou revendre. Une des premières choses qu’ils font ensuite, généralement, est d’essayer ces mots de passe sur tous les autres sites auxquels ils peuvent penser. Il ne s’agit pas juste de taper les mots de passe sur un clavier pour voir où leurs victimes travaillent. Les pirates utilisent des scripts qui essaient des millions de mots de passe connus sur plusieurs milliers de sites Web. Cela signifie que si vous avez utilisé le même mot de passe sur plusieurs sites différents, et si l’un de ces sites est victime d’une attaque, les pirates informatiques peuvent potentiellement accéder à tous les autres comptes sur lesquels vous avez réutilisé ce même mot de passe.
Idéalement, vous avez donc besoin d’un nom d’utilisateur différent et d’un mot de passe complexe différent pour chaque connexion. Oui, je sais. Ce n’est pas facile quand vous pouvez avoir des centaines de comptes différents. Je viens de compter le nombre de comptes différents que j’ai. Et vous savez quoi? J’ai découvert que j’utilise plus de 200 identifiants différents, que ce soit pour les achats, les voyages, la gestion de mon argent, les médias sociaux, les entreprises de services publics, le gouvernement, etc.
Assurez-vous que votre stratégie est suffisamment solide
Certaines personnes utilisent un mot de passe commun pour ce qu’ils considèrent être des sites à faible risque. Ils ne définissent des mots de passe uniques que pour les sites qui leur paraissent les plus critiques, comme leur banque. Hélas, cela peut entraîner des problèmes lorsqu’un compte «à faible risque» s’avère plus important que vous ne le pensiez. Des informations personnelles pouvant aider les pirates à violer un compte plus sécurisé pourraient éventuellement être dérobées.
Prenons un exemple simple. Imaginons que votre opérateur de téléphonie mobile utilise un ancien compte de messagerie, que vous utilisez rarement et que vous avez oublié, pour confirmer les commandes. Un pirate informatique peut alors récupérer votre numéro de téléphone et l’utiliser pour se faire passer pour vous sur un autre site. De même, imaginons qu’un pirate informatique accède au site sur lequel vous avez utilisé votre mot de passe commun parce que vous vouliez uniquement effectuer un achat ponctuel et que la société conserver une copie des informations de votre carte de crédit en ligne. Le cyber-criminel pourrait alors obtenir votre mot de passe commun ainsi que les informations de votre carte de crédit. Bon d’accord, imaginons que le site marchand en question ne conserve pas vos informations de carte de crédit. Celles concernant vos achats (nom, prénom, adresse email) peuvent être suffisantes pour qu’un pirate informatique réussisse une attaque de phishing: «Cher Alain, le t-shirt que tu as acheté la semaine dernière provenait d’un lot défectueux. Merci de cliquer sur ce lien pour obtenir un remboursement ».
Utilisez un gestionnaire de mots de passe
Si vous souhaitez créer un mot de passe différent et complexe pour chaque site sur lequel vous vous connectez, vous aurez sûrement beaucoup de mal à le mémoriser. Alors vous pouvez le stocker dans une feuille de calcul ou un document protégé par mot de passe. Encore faut-il vous assurer que la protection du document ne puisse pas être violée. Il est cependant préférable d’utiliser un outil de gestion de mots de passe.
Les gestionnaires de mots de passe sont beaucoup plus qu’un simple outil de stockages des mots de passe. Ils offrent tout un ensemble de fonctionnalités telles que :
- Protection de tous vos noms d’utilisateur et mots de passe enregistrés protégés par un seul mot de passe (très complexe j’espère) que vous seul connaissez
- Navigation automatique vers des sites Web et saisie de vos informations dans les champs correspondants
- Capture automatique des noms d’utilisateur et des mots de passe lorsque vous les entrez ou les modifiez
- Génération de mots de passe aléatoires complexes correspondant à des critères spécifiés
- Synchroniser les mots de passe cryptés enregistrés vers un service cloud afin que vous puissiez les utiliser sur de nombreux appareils différents (ordinateur, tablette, téléphone)
- Prise en charge de plusieurs navigateurs pour vous permettre de vous connecter comme bon vous semble au moment voulu
- Prise en charge de diverses plates-formes, notamment Windows, Mac, IoS et Android.
Certains gestionnaires de mots de passe sont gratuits, d’autres sont payants. Certains autres ont une version premium et une version gratuite avec des fonctionnalités différentes. Voici une liste de quelques produits que vous devriez considérer:
Une fois que vous aurez commencé à utiliser un gestionnaire de mots de passe, vous verrez par vous-même. Vous vous demanderez comment vous avez réussi à vous en passer jusqu’alors. Cela rend les choses tellement plus faciles. Comme pour tout outil, la configuration et l’habitude de l’interface utilisateur demandent un peu d’effort au début. Ensuite vous pourrez créer des mots de passe longs et complexes pour chaque site et les utiliser pratiquement sans effort.
Utilisez l’authentification à deux facteurs
Les mots de passe longs et complexes aident à sécuriser vos comptes, mais ils ne suffisent pas toujours. Les hackers peuvent utiliser de nombreuses astuces pour obtenir vos mots de passe. En particulier si vous utilisez un réseau WiFi public non sécurisé dans les hôtels, les aéroports ou les cafés, ils peuvent espionner et récupérer vos mots de passe qui sont transmis en clair sur le réseau.
L’authentification à deux facteurs utilise deux manières différentes de prouver qui vous êtes. Elle repose sur deux choses complètement différentes. Il est donc beaucoup plus difficile pour un pirate informatique de prendre le contrôle votre compte. Chaque connexion nécessite l’utilisation de deux éléments distincts parmi les suivants:
- Quelque chose que vous savez (un mot de passe par exemple)
- Quelque chose que vous avez (une carte, un badge, un jeton matériel)
- ou quelque chose que vous êtes (une identification biométrique comme une empreinte digitale par exemple)
- ou enfin quelque part où vous êtes (l’identité d’un réseau sans fil par exemple ou des coordonnées GPS).
Certains sites Web vous permettent d’utiliser un message texte envoyé sur un téléphone portable ou un code envoyé dans un message électronique en tant que deuxième facteur. C’est notamment le cas pour les banques. Cela vaut mieux que de simplement utiliser un mot de passe mais ce n’est pas aussi sécurisé que d’autres options. En effet, il existe des moyens bien connus d’intercepter les messages électroniques et les messages texte du téléphone. D’ailleurs, considéré comme trop fragile, ce moyen d’authentification utilisé par les banques est en voie d’être interdit en Europe. La commission européenne est actuellement en train d’élaborer la nouvelle directive DPS2 qui va dans ce sens et s’imposera à toutes les banques et les sites marchands. La meilleure option pour une utilisation personnelle consiste à utiliser une application, telle que Google Authenticator, ou un jeton matériel, tel que Yubikey.
L’authentification à deux facteurs est déjà disponible sur de nombreux sites
Peut-être ne le savez-vous pas mais de nombreux sites et logiciels différents prennent déjà en charge l’authentification à deux facteurs. Par exemple
- Vous pouvez l’activer sur les sites de médias sociaux tels que Facebook, Twitter et LinkedIn
- De nombreuses banques et autres sites financiers fournissent un deuxième facteur sous la forme d’un jeton matériel qui génère un code à utiliser lorsque vous vous connectez
- Certains logiciels prennent en charge deux facteurs. Par exemple, vous pouvez configurer la connexion à deux facteurs pour la plupart des gestionnaires de mots de passe répertoriés ci-dessus.
Utilisez un service de VPN
Vous utilisez un réseau WiFi public, par exemple dans les hôtels, les aéroports ou les cafés? Les pirates informatiques ont alors une bonne occasion de s’attaquer à votre sécurité. Ils peuvent s’y prendre de différentes manières. Notamment, il peuvent mettre en place un faux point d’accès WiFi qui redirige tout le trafic via leurs propres serveurs. Ils ont alors tout loisir de capturer vos informations personnelles.
Le meilleur moyen de vous protéger de ce type d’attaque consiste à utiliser un service VPN. Une fois que vous vous êtes connecté au réseau WiFi et avant de faire quoi que ce soit, le service VPN configure une connexion vérifiée et cryptée entre votre appareil et un serveur VPN. Le serveur VPN achemine ensuite tout votre trafic Internet, de façon cryptée, vers sa destination. Ceci empêche toute personne sur le réseau WiFi local de voir quoi que ce soit sur votre activité Internet ou d’interférer avec celle-ci.
Vous pouvez trouver une comparaison détaillée des produits VPN disponibles sur le site That One Privacy Site.
2. Protégez vos ordinateurs, vos tablettes et vos téléphones
Il est extrêmement facile pour les ordinateurs, les tablettes ou les téléphones d’être infectés par des logiciels malveillants pouvant avoir des conséquences dévastatrices. Un Ransomware peut chiffrer tous vos fichiers et demander de l’argent pour les récupérer. Le cryptojacking peut prendre le contrôle de votre appareil et utiliser toute votre puissance CPU pour générer des bitcoins pour un attaquant. Les virus, les vers et les chevaux de Troie peuvent être utilisés pour prendre complètement le contrôle de votre appareil et l’utiliser pour lancer des attaques sur d’autres ordinateurs ou tout simplement pour vous causer des problèmes.
Parmi les actions que vous pouvez prendre pour vous protéger nous vous proposons les suivantes:
Maintenez les correctifs de sécurité à jour
Ne tardez pas à installer les correctifs du système d’exploitation. Dès que le correctif est disponible et que la connaissance du bug se généralise, il est probable que des cyber-criminels tenteront d’exploiter le bug qu’il corrige. Si vous attendez quelques semaines pour installer le correctif, ils auront tout le temps de vous pirater.
Ne faites pas que patcher votre système d’exploitation. Les applications nécessitent également des correctifs réguliers. Certaines applications les téléchargent automatiquement. Par exemple, des navigateurs Web tels que Chrome et Firefox vous invitent à mettre à jour les versions les plus récentes. Vous devez toutefois surveiller les autres applications et les maintenir à jour manuellement.
Il existe des outils pour vous aider, mais aucun d’eux n’est totalement satisfaisant. Vous pouvez utiliser un produit appelé SUMo, qui identifie les mises à jour dont vous avez besoin et fournit un lien pour les télécharger. Attention cependant, les liens de téléchargement ne sont pas toujours fonctionnels.
Assurez-vous de maintenir votre anti-virus à jour
Vous devez absolument exécuter un logiciel antivirus sur tous vos appareils, le maintenir à jour et effectuer des analyses régulières. Il existe de nombreuses options gratuites, en fonction de la plate-forme que vous utilisez. Par exemple, Sophos propose des produits gratuits pour Windows, Mac et Android. N’hésitez pas à rechercher en ligne des critiques qui seront probablement mises à jour plus fréquemment que ce blog.
Faites attention l’hameçonnage, ne cliquez pas sur des liens
L’hameçonnage (phishing en anglais) est souvent utilisé par les pirates pour vous amener à télécharger et à exécuter des logiciels. Généralement, il se présente sous la forme d’un lien dans un courrier électronique, un message texte ou un message de média social. Mais il peut également être intégré dans un document PDF ou Office. Pour en savoir plus, je vous invite à consulter un précédent article : Phishing – Mode d’emploi. Auparavant, il était assez facile de reconnaître les attaques de phishing car elles avaient généralement une mauvaise grammaire et des liens qui présentaient des risques évidents à reconnaître. Mais les escrocs deviennent de plus en plus intelligents et certaines de ces attaques sont vraiment difficiles à détecter.
Vous devez être vigilant. Si vous recevez un lien dans un message envoyé par un ami, ne vous contentez pas de cliquer dessus. Réfléchissez bien au type de messages que cet ami vous envoie habituellement. Eventuellement contactez-le et demandez-lui s’il vous a vraiment envoyé le message. Si vous recevez un email d’une banque ou d’une autre institution financière, n’utilisez jamais le lien inclus dans le message pour accéder à votre compte. Ouvrez votre navigateur Web et accédez vous-même au site.
Faites des sauvegardes régulières, spécialement pour les données importantes
Si votre ordinateur ou votre périphérique est compromis, vous pouvez probablement le restaurer dans l’état dans lequel il se trouvait lorsqu’il a quitté l’usine. Cela supprimera tout logiciel malveillant. Cependant, si vos précieuses données ont été compromises, votre seul moyen de récupération consiste à restaurer une sauvegarde. Vous pouvez utiliser un logiciel de sauvegarde comme Acronis TrueImage ou StorageCraft ShadowProtect, mais même si cela n’est pas possible, vous devez stocker des copies des fichiers importants dans un emplacement sûr, même si vous les envoyez régulièrement à votre service de messagerie cloud.
3. Protégez vos objets connectés
De nombreux appareils que nous introduisons aujourd’hui dans nos foyers ont une capacité informatique et une connectivité réseau. Cela inclut
- les téléviseurs et les différentes éléments que nous leur connectons;
- haut-parleurs intelligents tels que Amazon Echo ou Google Home;
- les ampoules intelligentes;
- systèmes domotiques;
- les webcams;
- et des appareils plus exotiques tels que des grille-pain intelligents, des bouilloires et des brosses à dents.
Tous ces appareils sont en réalité des ordinateurs de votre réseau domestique. Ils peuvent donc être attaqués et leur contrôle peut être pris par des pirates. Si vous souhaitez connaître l’ampleur potentielle du problème, consultez Shodan, un moteur de recherche Web qui localise et identifie les périphériques IoT non sécurisés.
Les conseils de ce paragraphe du blog s’appliquent également aux périphériques réseau domestiques tels que les routeurs et les points d’accès sans fil.
Changez les mots de passe par défaut
La première chose, et la plus importante, que vous devriez faire avant de commencer à utiliser tout appareil connecté est de changer les mots de passe par défaut. Choisissez un bon mot de passe et veillez à en conserver une copie, de préférence dans votre gestionnaire de mots de passe.
Mettez à jour le micro-logiciel et les logiciels
Comme tous les autres ordinateurs, ces appareils exécutent des logiciels qui peuvent être compromis. Les fournisseurs publient régulièrement des mises à jour et des correctifs. Vous devez vous assurer que ceux-ci sont installés rapidement.
Désactivez les fonctionnalités que vous n’utilisez pas
De nombreux appareils comportent de nombreuses fonctionnalités qu’on utilise très rarement. Une fois que vous avez identifié les fonctionnalités du périphérique que vous souhaitez utiliser, il est recommandé de désactiver toutes les fonctionnalités que vous n’utilisez pas. Cela réduira la «surface d’attaque» et contribuera à réduire les risques de compromission de votre appareil.
Conclusion
Nous sommes de plus en plus dépendants d’Internet et nos foyers regorgent d’appareils informatiques de plus en plus sophistiqués. Internet et les appareils connectés sont très populaires. Ils contribuent à notre qualité de vie, mais ils comportent des risques. Si vous les utilisez sans penser aux risques, un jour vous serez attaqué et les conséquences pourraient être graves.
Si vous utilisez les contre-mesures disponibles, telles que les bons mots de passe, l’authentification à deux facteurs et les mises à jour de correctifs, vous pouvez alors vous protéger. Vous protègerez ainsi votre maison et votre famille contre les pires effets d’une attaque.
Cet article vous a paru utile? Vous avez d’autres astuces pour vous protéger en ligne? N’hésitez pas à partager vos avis et vos expériences par un commentaire. Si vous avez aimé cet article, vous pouvez aussi nous laisser un « like », cela fait toujours plaisir à notre équipe.