Chaque année, entreprises comme administrations dépensent des millions d'euros pour tenter de protéger leurs données et réseaux contre les cyberattaques. La création et la mise en œuvre de règles de sécurité, la détection des logiciels malveillants et tentatives d'attaque, ou encore l'élaboration de plans d'intervention d'urgence mobilisent une part importante de leur temps et de leurs ressources. Leur objectif : s'assurer que seules les personnes et ressources appropriées pourront accéder aux systèmes et données dont elles ont besoin et les gérer. Force est pourtant de constater que les accès illicites et vols de données se multiplient à un rythme préoccupant. Les attaques se font plus sophistiquées et d'une précision de plus en plus chirurgicale.
Si même les administrations et les entreprises ont du mal à se prémunir des tentatives de piratage et de vol d'informations, comment les particuliers pourraient-ils préserver leur identité et leurs données privées ?
Plusieurs méthodes sont envisageables. La plus radicale, consiste à ne pas utiliser Internet. Sans connexion au Web ni informations personnelles au format électronique, impossible a priori d'être attaqué, si ce n'est par un agresseur en chair et en os, bien entendu. Cette solution présente toutefois deux inconvénients : premièrement, il est quasi impossible, dans le contexte socioéconomique actuel, d'empêcher que des informations personnelles vous concernant circulent sur la toile. Deuxièmement, même si vous ne les partagez pas personnellement, les entreprises et organismes avec lesquels vous traitez stockent des données électroniques sur vous. Vous aurez beau être vigilant et prendre des mesures pour réduire les risques sous votre contrôle, vous dépendrez toujours d'un tiers pour protéger vos informations personnelles.
La question est donc : comment faire pour exposer le moins possible vos données personnelles et confidentielles ?
1. Appliquez en permanence une protection de base sur votre ordinateur.
Principe simple : installez un logiciel de protection contre les programmes malveillants et mettez-le régulièrement à jour. Les programmes malveillants sont vos plus grands ennemis. Si la plupart des ordinateurs sont aujourd'hui équipés d'un programme antivirus, nombreux sont les utilisateurs qui n'effectuent pas les mises à jour régulières.
Tout comme pour la vaccination à réitérer chaque année pour nous défendre contre les nouvelles souches de la grippe, il faut absolument mettre à jour sa protection antivirus pour protéger correctement son ordinateur des nouveaux virus, vers, chevaux de Troie, logiciels espions et autres programmes néfastes. Cette protection de base constitue la première ligne de défense contre les programmes malveillants, sans cesse plus sophistiqués.
2. Choisissez bien ceux avec qui vous échangez des informations sur le Web.
Principe simple : si le site Web que vous visitez est la vitrine d'une entreprise avec qui vous n'hésiteriez pas à traiter en personne, vous ne risquez pas grand chose. Si l'entreprise en question n'existe qu'en ligne, vérifiez sa réputation et sa notoriété. Assurez-vous également que l'adresse du site débute par https:// quand vous arrivez à l'étape de saisir des données personnelles ou coordonnées bancaires. Lorsque vous surfez sur des boutiques en ligne ou des sites Web spécialisés, vérifiez qu'il existe un numéro de téléphone pour contacter le service client et testez-le avant d'effectuer vos achats.
3. Dans la mesure du possible, n'autorisez pas les boutiques en ligne à stocker vos coordonnées bancaires.
Principe simple : résistez à l'appel de la facilité et évitez de confier vos coordonnées bancaires à un site d'e-commerce. Nombreux sont ceux qui vous diront que cette procédure accélérera vos prochaines transactions. Sachez toutefois que les informations que vous divulguerez seront stockées sur les serveurs de ladite entreprise, ceux de leur fournisseur de services Cloud ou masquées sur votre propre système. Si le risque existe dès lors que vous divulguez des données, celui-ci sera moindre si vous saisissez les infos à chaque fois que si vous acceptez que vos données soient stockées quelque part.
4. N'utilisez pas les mêmes identifiants et mots de passe sur toutes les applications et sites Web.
Principe simple : utilisez un identifiant et/ou mot de passe différent pour chaque application. La plupart des applications et services d'entreprises et d'administrations sont protégés par un mot de passe. Or les mots de passe peuvent se révéler être les maillons les plus faibles de la chaîne de sécurité. La plupart des gens n'utilisent souvent qu'un seul mot de passe, toutes applications confondues, de crainte de l'oublier. Aussi, dès qu'un pirate parvient à subtiliser un mot de passe, il y a de grandes chances qu'il en devine un bon nombre d'autres, si ce n'est l'ensemble, de vos combinaisons d'accès.
Voici un bon conseil pour remédier à ce problème : associez un même mot de passe, simple à retenir, à chaque catégorie d'applications ou de services. Prenons l'exemple d'une banque en ligne. Nous sommes nombreux à disposer d'un identifiant et d'un mot de passe pour consulter nos comptes en ligne. Admettons que j'utilise systématiquement le nom de mon chien comme mot de passe. Pour ma banque en ligne, je peux y associer le terme « banque » ou « argent ». Alors qu'un criminel pouvait deviner mon mot de passe simplement en consultant mon profil Facebook et mes photos avec Médor, il aura bien du mal désormais à déduire que mon mot de passe est « banquemedor » ou « medorargent ». Cette approche peut s'appliquer à tous vos comptes (« mailmedor », « medorlivres », etc.) sans rendre la mémorisation de vos codes d'accès plus difficile. Et pour compliquer encore la tâche des pirates, vous pouvez compléter vos mots de passe par des chiffres (ex. banquemedor01). Vos données seront ainsi mieux protégées, sans que la gestion de vos mots de passe ne devienne un casse-tête.
5. Adoptez les mesures d'authentification bifactorielle (ce terme barbare cache une méthode toute simple).
Principe simple : associer une mesure d'authentification classique à une seconde méthode dite « physique » peut considérablement renforcer votre sécurité. Les identifiants et mots de passe permettent une authentification monofactorielle. Votre mot de passe constitue la clé primaire d'accès à vos applications.
En combinant ces informations à un autre moyen que vous seul possédez, vous vous dotez d'un mécanisme d'authentification bifactorielle. Cette méthode limite grandement les risques d'accès non autorisé à vos comptes au moyen des techniques élémentaires, de type ingénierie sociale ou déduction de mots de passe. Vous pouvez par exemple recourir à un générateur de mots de passe à usage unique sur votre téléphone portable. Ainsi, après avoir saisi votre identifiant et votre mot de passe, vous serez invité à saisir un mot de passe à usage unique auquel vous seul avez accès depuis votre téléphone portable. Vous n'obtiendrez alors l'autorisation d'accès qu'à l'issue des deux étapes : mot de passe habituel, « medor01 », par exemple + mot de passe à usage unique. De nombreuses entreprises utilisent déjà cette procédure sous la forme de jetons d'accès.
6. Méfiez vous des attaques d'ingénierie sociale.
Principe simple : ne divulguez jamais d'informations personnelles si vous avez le moindre doute. Les attaques d'ingénierie sociale sont souvent perpétrées par e-mail. Ces e-mails, légitimes en apparence, peuvent parfois piéger même les plus méfiants d'entre nous. Ne répondez jamais par e-mail à une demande de données confidentielles, comme votre numéro de sécurité sociale, vos coordonnées bancaires ou d'autres informations sensibles. Souvent, les e-mails de « phishing » comportent un lien à suivre pour obtenir des instructions complémentaires. Ce lien aboutit souvent à un site qui semble fiable. Mais ce n'est généralement qu'un stratagème de plus inventé par les cybercriminels pour dérober vos données.
Si vous avez un doute sur un e-mail reçu vous invitant à dévoiler des informations personnelles, consultez le site en question à partir de votre navigateur, plutôt qu'en cliquant sur le lien proposé dans l'e-mail. Et si le doute persiste, contactez l'organisme par téléphone pour vérifier s'il est bien à l'origine de l'e-mail que vous avez reçu et s'il est autorisé à vous demander lesdites informations. Sachez également qu'il n'est pas dans les habitudes des banques, ni de la plupart des organismes officiels, de demander à leurs clients et abonnés de confirmer des numéros de compte ou autres coordonnées par ce biais.
Ces 6 principes ne sont pas exhaustifs, mais ils devraient vous aider à limiter les risques et mieux vous protéger contre les dangers du Web. Leur observation aura au moins le mérite de vous sensibiliser aux menaces en ligne et de vous donner quelques outils qui aident à s'en prémunir.