Photo by chris panas on Unsplash

Afin de lutter contre la propagation du virus du Covid-19, nous devons adopter des gestes barrières. C'est exactement cette logique-là que nous devons adopter en ligne afin de protéger nos données personnelles et notre vie privée.

Les mots de passe

Une des principales failles de sécurité en informatique est le facteur humain. Par facilité, on va souvent utiliser des mots de passe simples afin de pouvoir s'en souvenir plus facilement. Certains utilisateurs utilisent le même mot de passe pour les différents services qu'ils utilisent en ligne (mails, impôts, réseaux sociaux, banque...). C'est un peu comme si vous installiez la même serrure sur toutes les portes dont vous souhaitez sécuriser l'accès. Ce ne serait pas très efficace, il suffirait de vous dérober votre clé pour pouvoir ouvrir votre logement, votre voiture, votre coffre-fort, votre maison de vacances... Un mot de passe par service est la règle de base à respecter. Si un attaquant vous dérobe votre mot de passe Facebook, il testera la combinaison sur la plupart des grands services du web. Et s'il parvient à accéder à votre boîte mail, il pourra trouver des informations personnelles que vous y stockez (scan de pièce d'identité, un avis d’imposition, les résultats d'analyse de sang...). 

Votre mot de passe ne doit pas contenir d'informations personnelles (date d'anniversaire, nom de votre chien, prénom des enfants...). Les attaques malveillantes reposent souvent sur des méthodes d’ingénierie sociale conçues pour que la faille de sécurité repose sur l'utilisateur. En recoupant différentes données à partir des traces que vous laissez en ligne, en particulier sur les réseaux sociaux, on peut déduire beaucoup d'informations sur vous. 

Changez systématiquement les mots de passe par défaut qu'on vous fournit quand vous utilisez un service en ligne ou pour administrer un objet connecté. Les fabricants de ces derniers proposent souvent par commodité un mot de passe par défaut très simple tel que 0000 ou admin. Bien évidemment, un mot de passe est personnel  - mais ne doit pas contenir d'éléments personnels - et ne doit être connu que de vous. Un mot de passe, c'est comme une brosse à dents, ça ne se se prête pas. Enfin, ne demandez à personne de créer un mot de passe pour vous.

Ne stockez pas vos mots de passe dans un carnet ou sur un post-it à proximité de votre ordinateur. Avec la multiplicité des services en ligne que nous utilisons, la tentation est grande de les inscrire quelque part pour ne pas les oublier. Privilégiez plutôt un gestionnaire de mots de passe qui servira de coffre-fort numérique de vos mots de passe. Vous n'aurez plus qu'un seul mot de passe à retenir, celui du gestionnaire de mots de passe. Evitez également de demander à votre navigateur de retenir automatiquement les mots de passe. Si ce dernier ne les stocke pas de façon chiffrée (illisible pour toute personne non autorisée à y accéder), ils seront accessibles en clair sur votre ordinateur.

Enfin, un bon mot de passe est un mot de passe robuste. Oubliez 123456, azerty ou password... Privilégiez un mot de passe de 12 caractères minimum. Aujourd'hui, la puissance de calcul des ordinateurs est suffisamment puissante pour tester de multiples combinaison en un temps record. Faites le test avec le site How secure is my password ?, saisissez un (faux) mot de passe dans le champ approprié pour mesurer le temps qu'il faut pour casser votre mot de passe. Rappel : ne diffusez jamais votre mot de passe sur Internet. L'Agence Nationale de la Sécurité des Services d'Information (ANSSI) recommande deux méthodes pour construire un mot de passe solide :

  • La méthode phonétique : « J’ai acheté huit cd pour cent euros cet après-midi » deviendra ght8CD%E7am ;
  • La méthode des premières lettres : la citation « un tien vaut mieux que deux tu l’auras » donnera 1tvmQ2tl’A.

Les mises à jour

Nos appareils (smartphones, tablettes, ordinateurs, appareils connectés...) effectuent régulièrement des mises à jour. SI ces dernières offrent parfois de nouvelles fonctionnalités, elles servent aussi - et surtout - à corriger des bugs ou des failles de sécurité qui avaient échappé à l'éditeur du logiciel. Une faille de sécurité constitue une brèche dans laquelle un attaquant malveillant peut s'engouffrer pour prendre le contrôle de votre appareil. Il est donc indispensable d'effectuer les mises à jour de vos logiciels (système d'exploitation, navigateurs web...) ou de vos applications. Selon votre matériel et son paramétrage, un système de notifications de mises à jour est souvent présent pour vous alerter. 


Les sauvegardes

Les données sur support numérique sont assez fragiles si vous ne prenez pas la peine de mettre en place un système de sauvegarde. Votre ordinateur refuse de s'allumer, une panne mécanique sur votre disque dur ou pire un rançongiciel (ou ransomware) qui vous empêche d'accéder au contenu de votre disque dur et vous perdez toutes vos données. Le risque zéro n'existe pas et aucun matériel n'est infaillible, alors la solution la plus efficace consiste à effectuer des mises à jour régulières. N'hésitez pas à utiliser un disque dur externe ou une clé USB avec une grande capacité de stockage pour effectuer une copie de vos données et pouvoir les récupérer en cas de panne. Bien entendu, vous ne devriez pas utiliser ces appareils en étant connectés à internet.


JavaScript

Selon Wikipédia, "JavaScript est un langage de programmation de scripts principalement employé dans les pages web interactives mais aussi pour les serveurs". JavaScipt est répandu et permet de réaliser des interfaces dynamiques très esthétiques. Beaucoup de sites web nécessitent d'activer JavaScript dans son navigateur pour pouvoir les visiter. Cependant, JavaScript représente également un danger dans certaines situations car ce langage présente des risques de sécurité qui peuvent se traduire par la prise de contrôle de l'ordinateur par un assaillant. Vous pouvez décider de désactiver par défaut JavaScript afin de renforcer votre sécurité en ligne. Toutefois, la désactivation par défaut peut introduire quelques désagréments en terme d'expérience parce que certains sites ou services en ligne ne fonctionnent pas correctement sans JavaScript (ex : cliquez sur un menu déroulant ou le bouton rechercher...). Vous devrez alors définir des règles au cas par cas. Pour pouvoir contrôler l'exécution de JavaScript sur votre navigateur, vous pouvez utiliser le plugin NoScript pour Firefox. Pour apprendre à utiliser NoScript, nous vous invitons à parcourir ce tutoriel.


Hameçonnage 

La technique dîte du hameçonnage est suffisamment imagée pour comprendre que c'est un piège. Elle se traduit généralement par un mail que vous avez reçu et qui vous invite à cliquer sur un lien pour vous subtiliser des données personnelles. Ces mails prennent des formes différentes : un fournisseur d'énergie qui vous contacte pour une régularisation de facture, un opérateur télécom qui vous annonce que vous avez gagné un iPhone 16 (il n'existe pas encore, on est d'accord) ou le fameux chantage à la webcam qui explose en cette période de confinement. Si vous recevez ce genre de mails, ne cliquez surtout pas. C'est le meilleur geste à adopter. EDF vous fait un rappel de votre consommation électrique mais vous êtes client chez un autre fournisseur d'énergie, ne cliquez pas ! Une personne vous envoie un mail pour vous dire qu'elle se retrouve dans un pays étranger sans argent mais vous ne connaissez pas cette personne, ne cliquez pas ! Vous recevez un mail qui vous annonce que vous avez gagné 5000 €, ne cliquez pas ! Si vous avez le moindre doute, appelez votre fournisseur d'énergie votre FAI ou le Trésor Public. Mais quoi qu'il en soit, ne communiquez jamais vos coordonnées bancaires ! Les demandes d'informations confidentielles légitimes ne sont jamais réalisées par mail. Ces techniques malveillantes sont de plus en plus rodées et il est plus difficile de les repérer uniquement avec les fautes d'orthographe. De même, n'ouvrez pas une pièce-jointe dont vous ne connaissez pas l'origine. En effet, en ouvrant des pièces-jointes douteuses, vous prenez le risque d'ouvrir un programme malveillant contenu dans la pièce-jointe. Si le mail contient un ou plusieurs liens sur lesquels on vous demande cliquer, passez votre souris sur le lien (sans cliquer !) pour faire apparaître - en bas à gauche, ou à droite de l'écran - le lien et voir vers quelle adresse il renvoie. Pour vous exercer, nous vous invitons à faire ce petit test pour savoir si vous êtes capables d'identifier une tentative de hameçonnage. 


La session administrateur

Les systèmes d'exploitation proposent généralement deux grands types de catégories de sessions pour utiliser l'ordinateur : la session administrateur et une session utilisateur avec des droits limités. La session administrateur est celle qui dispose de tous les droits sur une machine. Autrement dit, c'est le sésame pour un assaillant qui parviendrait à prendre le contrôle de votre ordinateur. Afin de limiter les risques, il est recommandé de surfer en ligne en utilisant une session avec des droits limités pour limiter les possibilités d'infection ou d'attaques.


Avec ces quelques recommandations, vous ne serez pas entièrement à l'abris de malveillance. Cependant, il est indispensable d'adopter ces règles d'hygiène numérique pour limiter les risques. Soyez vigilants, ne cliquez pas trop vite, lisez attentivement, suivez ces recommandations et vous augmenterez déjà votre cybersécurité !

Pour aller plus loin :


Nous vous recommandons également nos autres sélections spéciales confinement :