En ce moment, plus que jamais, vous devez sécuriser tous vos comptes en ligne. Il est plus que temps d’adopter l’authentification à deux facteurs, d’arrêter de réutiliser les mots de passe et de rendre votre présence en ligne résistante aux pirates. Car tôt ou tard, la cyber-guerre qui se prépare viendra vous chercher.
S’il est vrai que le piratage et la compromission des comptes personnels sont un fléau sur Internet depuis des années, voire des décennies, ce que nous commençons à voir éclipse les menaces que nous avons vécues jusqu’à présent. Abstraction faite de la politique, les événements en cours en Russie et en Ukraine ont déclenché le catalyseur d’une cyberattaque de masse. Et la réponse des autres pays ne fera probablement qu’exacerber ce fait.
Sommaire
Les entreprises constatent déjà des piratages massifs
Zephyr_P/Shutterstock
Au cours de l’année écoulée, les entreprises ont déjà fait les frais de la cyber-guerre qui se prépare. Et ne pensez pas que cela ne vous touchera pas personnellement. Selon le FBI, les ransomwares ont touché 649 organisations d’infrastructures critiques rien qu’en 2021. Cette liste comprend des sociétés d’énergie, des sociétés de transport et des banques. L’endroit où vous stockez votre argent n’est peut-être pas à l’abri d’un virus capable de crypter toutes les informations relatives à vos finances.
L’année 2022 n’est pas mieux partie non plus. Ces dernières semaines, de grandes entreprises comme Microsoft, Samsung, Nvidia et Okta ont été victimes d’intrusions. Si cette dernière société n’est pas très connue, cela ne signifie pas qu’elle n’est pas importante. Des milliers d’entreprises font confiance à Okta pour vérifier l’accès des utilisateurs aux systèmes internes. Pensez-y comme un portier pour les employés essentiels qui tentent d’accéder aux actifs de l’entreprise. Et soudain, les pirates ont eu accès à potentiellement tout ce que le « portier » faisait.
Okta affirme que seules quelques centaines d’entreprises ont pu être touchées par le piratage, mais ne donne pas de noms. FedEx, T-Mobile, Peloton, Cloudflare, et bien d’autres dépendent d’Okta pour sécuriser leurs systèmes. Et alors que Microsoft a rapidement révélé la date de l’intrusion, Okta a été beaucoup plus lent à reconnaître que quelque chose s’était produit, sans parler des détails du piratage. Malheureusement, ce n’est pas la première fois et ce ne sera probablement pas la dernière fois qu’une entreprise publie lentement des informations sur une violation qui pourrait vous affecter directement.
Bien qu’il n’y ait pas grand-chose que vous puissiez faire pour empêcher une entreprise de se faire pirater, ces violations peuvent vous affecter, et vos actions peuvent en atténuer les conséquences. Et vous pouvez tirer des enseignements de la façon dont les entreprises tombent sous le joug des pirates informatiques. Dans le cas de Microsoft, Samsung, Nvidia et Okta, le même groupe de pirates s’en est pris aux entreprises et a utilisé des méthodes similaires à chaque fois. Des méthodes qui fonctionneront tout aussi bien sur les comptes individuels. Et oui, vos comptes personnels sont en danger.
Les hacks de représailles sont une conclusion oubliée
Les événements mondiaux actuels ne feront qu’aggraver le problème. En réponse aux actions de la Russie en Ukraine, plusieurs pays (dont les États-Unis) ont imposé des sanctions. Des entreprises comme Netflix, Pizza Hut, Apple, IKEA, Master Card, Xbox Live, Spotify et bien d’autres ont suspendu leurs services en Russie. Certaines de ces suspensions empêchent la vente de produits, tandis que d’autres interrompent des services qui ont peut-être déjà été payés à l’avance (comme un an de Netflix).
La Maison Blanche a déjà averti les entreprises qu’elles devaient s’attendre à des représailles et a publié une liste de contrôle pour renforcer les défenses. Mais il n’y a pas que les groupes parrainés par l’État dont nous devons nous inquiéter, et les entreprises ne sont pas les seules cibles probables. Les particuliers se tournent chaque jour davantage vers le piratage informatique comme forme d’activisme (hacktivisme). Les personnes en colère, prises entre deux feux et privées de services payants comme le Xbox Live ou Netflix, peuvent décider de se déchaîner.
Et même lorsque les émotions ne sont pas vives, des individus se tournent vers l’hacktivisme pour « redresser les torts » ou faire du profit. Plusieurs adolescents ont récemment été arrêtés et accusés d’être le groupe à l’origine des brèches chez Microsoft, Samsung et Okta. Les accusations insinuent que certains des accusés ont gagné des millions de dollars grâce à des attaques antérieures contre des entreprises. Le groupe Anonymous prétend pirater des individus, des groupes et des entreprises pour « redresser les torts » et « combattre l’injustice » (sans oublier le divertissement). Après des années d’inactivité, le groupe décentralisé est revenu en se concentrant sur les événements en Russie et en Ukraine.
Les ransomwares sont déjà un énorme problème et infectent souvent les particuliers comme les entreprises, les hôpitaux et les services de police. D’une manière générale, les ransomwares sont des attaques de type « drive-by », qui frappent tout et n’importe qui au hasard. Il n’est pas improbable de voir à l’avenir des attaques plus ciblées pour causer des dommages. La question n’est même pas de savoir si, mais plutôt quand.
Et les créateurs de virus et de ransomwares ne sont pas limités à un pays particulier. Les adolescents accusés d’avoir orchestré l’attaque de Microsoft et Okta résident en Grande-Bretagne. Quel que soit l’endroit où vivent les créateurs, tout le monde, quel que soit le pays, peut être victime grâce à l’internet.
Protégez-vous maintenant, avant qu’il ne soit trop tard
Vitalii Vodolazskyi/Shutterstock.com
Nous pouvons tirer de nombreuses leçons de ce que des entreprises comme Microsoft et Okta sont en train de gérer. Tout d’abord, il est beaucoup plus difficile de se remettre d’un ransomware ou d’un piratage que de l’empêcher. La dernière chose que vous souhaitez est de découvrir que tous vos fichiers ont été volés ou cryptés ou que votre mot de passe réutilisé a permis à quelqu’un de débiter votre compte bancaire pour acheter des articles sur Amazon ou de voler vos fonds. La prévention est un effort qui en vaut la peine à chaque fois.
Alors n’attendez pas ; vous devriez donner à chaque compte que vous avez un mot de passe complexe unique, de préférence avec un gestionnaire de mots de passe. Ensuite, activez l’authentification à deux facteurs (2FA) chaque fois que vous le pouvez. Pensez à utiliser une clé matérielle dans le cadre de ce système à deux facteurs. Limitez les informations que vous fournissez aux services en ligne afin qu’elles ne puissent pas être volées. Et considérez chaque lien et chaque courriel avec scepticisme.
Commencez à utiliser un gestionnaire de mots de passe dès maintenant
Chez Hitech-world et notre site frère How-To Geek, nous préconisons depuis longtemps l’utilisation de gestionnaires de mots de passe. Beaucoup trop de gens utilisent encore le même mot de passe pour tous les comptes en ligne qui en demandent un. Pire encore, ces mots de passe continuent d’être terribles et prévisibles. En 2021, les mots de passe les plus courants étaient :
- 123456
- 123456789
- 12345
- qwerty
- mot de passe
- 12345678
- 111111
- 123123
- 1234567890
- 1234567
Et lorsque les gens n’utilisent pas ces mots de passe évidents, ils ont souvent recours à des techniques de « keyboard walking » qui ne sont pas du tout complexes. Ces mots de passe sont la norme dans les tentatives de piratage et conduisent généralement à des comptes compromis en peu de temps. L’utilisation de mots de passe faciles à pirater pour tous vos comptes facilite considérablement l’accès à tous vos dossiers.
Dans de nombreux cas, les pirates n’ont même pas à faire d’efforts pour casser votre mot de passe. Ils ont déjà votre adresse électronique et votre mot de passe, grâce à une brèche dans l’une des nombreuses entreprises. Si vous pensez que cela ne s’applique pas à vous, il suffit d’entrer votre adresse électronique sur le site HaveIBeenPwned, et vous verrez probablement que vous avez tort.
Les pirates utilisent cette réutilisation à leur avantage dans une attaque appelée « credential stuffing ». Ils prennent vos informations d’identification volées sur Facebook et les essaient sur Spotify, Amazon, etc. S’ils ont de la chance, ils peuvent effectuer des achats ou modifier les informations de connexion pour prendre le contrôle de votre compte. Le « creential stuffing » est probablement à l’origine des brèches chez Microsoft et NVIDIA, et cela peut vous arriver.
Au lieu de cela, vous devez donner à chaque compte un mot de passe unique et complexe. Et bien que cela soit difficile à retenir, un gestionnaire de mots de passe fera ce travail pour vous. Vous n’avez qu’à vous souvenir d’un seul mot de passe principal qui déverrouille le gestionnaire, puis il remplit les détails pour vous lorsque vous visitez un site. C’est PLUS pratique que d’essayer de le mémoriser ou de le noter quelque part et de le taper soi-même.
Vous pouvez choisir parmi de nombreux gestionnaires de mots de passe, et certains offrent des niveaux gratuits, mais nous pensons que payer pour un gestionnaire de mots de passe peut en valoir la peine. N’oubliez pas qu’un gestionnaire de mots de passe ne sert pas à grand-chose si vous ne changez pas tous vos mots de passe réutilisés et si vous n’utilisez pas le gestionnaire pour générer des mots de passe uniques et complexes.
Activer l’authentification à deux facteurs partout où c’est possible
Google
Si la première étape de la sécurisation de vos comptes consiste à leur donner à tous des mots de passe uniques et complexes, la deuxième étape consiste à tourner l’authentification à deux facteurs (parfois appelée authentification en deux étapes ou authentification multifactorielle) partout où cela est possible.
En général, lorsque vous voulez accéder à un service en ligne comme votre banque ou Spotify, vous fournissez un nom d’utilisateur (souvent sous la forme de votre e-mail) et un mot de passe. Si vous avez les deux, vous avez accès. Si un pirate a les deux, il peut y accéder, grâce au bourrage de crédits ou à l’ingénierie sociale.
L’authentification à deux facteurs cherche à éviter ce dernier cas en vous demandant de fournir une deuxième preuve d’identité. Cette preuve sera fournie par un appareil que vous possédez et gardez sur vous, comme votre téléphone. Après avoir saisi votre mot de passe, le service vous demandera un code généré à usage unique. Ce code peut vous être envoyé par courrier électronique, par SMS (message texte) ou être généré dans une application. Sur les trois possibilités, les deux premières sont « mieux que rien » mais ne sont pas sûres.
Les pirates peuvent s’introduire dans votre courrier électronique pour saisir le code, par exemple. Ils peuvent aussi convaincre votre opérateur téléphonique d’échanger votre numéro SIM contre un numéro qu’ils contrôlent, ce qui leur permet d’intercepter vos SMS. Si vous utilisez une application, telle que Microsoft Authenticator, Google Authenticator ou Authy pour fournir votre code, le fait d’avoir physiquement votre téléphone devient un obstacle au piratage. En théorie, il faudrait à la fois voler votre mot de passe et votre téléphone (et tout mot de passe correspondant) pour accéder à votre compte.
Malheureusement, vous n’avez pas toujours le choix. Certains services ne prennent pas du tout en charge l’authentification à deux facteurs, tandis que d’autres n’autorisent que les options par e-mail ou SMS et ne prennent pas en charge les applications d’authentification. Mais chaque fois que vous le pouvez, vous activez l’authentification à deux facteurs et, si possible, vous l’associez à une application. Et dans certains cas, vous pouvez même envisager d’utiliser une clé de sécurité matérielle.
Les clés de sécurité matérielles sont une option à considérer
Suzanne Humphries, symona/Shutterstock.com
Si vous aimez l’idée de l’authentification à deux facteurs avec un composant matériel mais que vous ne voulez pas utiliser votre téléphone comme matériel, vous pouvez envisager une clé de sécurité. Avec une clé de sécurité, vous bénéficiez toujours des avantages de l’authentification à double facteur, à savoir la nécessité d’un mot de passe et d’une preuve d’identité, mais vous n’avez pas à vous soucier de la saisie d’un code généré.
Au lieu de cela, vous insérez la clé, et le système s’occupe du reste. Lorsque cela fonctionne, c’est souvent plus transparent et peut être plus pratique que les codes à usage unique. Mais vous trouverez peut-être moins de services qui prennent en charge les clés matérielles, et pour qu’elles fonctionnent avec votre téléphone ou votre tablette, il faut dépenser plus pour une version NFC, Bluetooth ou USB-C.
Certains systèmes d’exploitation, comme Windows, vous permettront même de déverrouiller votre appareil avec une clé. Et si la configuration est correcte, vous pouvez même éviter de fournir un mot de passe. Dès que vous retirez la clé et verrouillez l’appareil, il devient plus difficile de s’y introduire.
Les clés de sécurité matérielles peuvent être une excellente option pour sécuriser vos comptes, mais étant donné que de plus en plus de services prennent en charge l’authentification à deux facteurs basée sur un code, cela peut être la meilleure solution, plus pratique. La sécurité est toujours un équilibre entre la protection et la commodité. Plus vous verrouillez un compte, moins il est pratique à utiliser. Plus l’accès à un compte est facile, moins il est sécurisé.
Qu’est-ce qu’une clé de sécurité USB, et devez-vous en utiliser une ? 
La meilleure clé de sécurité globale
Yubico – YubiKey 5 NFC – Clé de sécurité USB et NFC à double facteur d’authentification, compatible avec les ports USB-A et les appareils mobiles NFC pris en charge – Protégez vos comptes en ligne avec plus qu’un simple mot de passe.
Clé de sécurité FIDO U2F, Thetis [Aluminum Folding Design] Clé USB universelle d’authentification à deux facteurs (Type A) pour une protection supplémentaire dans Windows/Linux/Mac OS, Gmail, Facebook, Dropbox, SalesForce, GitHub
Limitez vos informations autant que possible
Theethawat Bootmata/Shutterstock.com
Chaque fois que vous vous inscrivez à un compte en ligne, on vous demande une tonne de données personnelles. On peut vous demander votre vrai nom, votre adresse, votre numéro de sécurité sociale, votre adresse électronique, le nom de jeune fille de votre mère, votre numéro de carte de crédit ou votre groupe sanguin (la dernière est une blague, mais à peine).
Parfois, ces données sont nécessaires. Par exemple, Amazon ne peut pas vous envoyer le dernier gadget que vous avez commandé sans adresse. Mais le service météorologique qui, de manière frustrante, exige un compte pour voir des données granulaires, a-t-il vraiment besoin d’un numéro de sécurité sociale ? Absolument pas, et si la demande est totalement déraisonnable et inévitable, vous devriez aller voir ailleurs.
Parce que plus une entreprise possède de données sur vous, plus les pirates gagneront lorsqu’ils s’introduiront inévitablement dans ses serveurs. Ils obtiendront des noms, des adresses e-mail, des mots de passe, et bien plus encore. Et votre seul espoir est que l’entreprise ait fait un bon travail en séparant les données critiques et en les cryptant correctement. Mais trop souvent, les entreprises ont admis avoir stocké les mots de passe avec un mauvais cryptage, ou pire, en texte clair. Ne faites pas confiance aux entreprises pour faire ce qu’il faut.
Et ce n’est pas parce que vous devez fournir des données pour une utilisation unique que vous devez accepter de les sauvegarder sur les serveurs de l’entreprise. Au moment de régler un achat sur Amazon, Best Buy ou la pizzeria du coin, l’entreprise vous proposera probablement de stocker votre numéro de carte de crédit pour vos futurs achats.
Mais pensez au risque : vous vous épargnez un peu de tracas et de temps en évitant de sortir votre carte et de taper vos chiffres. Cependant, la prochaine fois que ce service sera piraté, la décharge de données pourra inclure votre numéro de carte de crédit (crypté, espérons-le). Au contraire, si vous choisissez de ne pas enregistrer votre numéro de carte sur le site, il ne se retrouvera pas dans la masse de données, et vous serez mieux loti.
Moins vous fournissez de données, moins elles peuvent être volées. Et moins il y a de sites auxquels vous donnez vos informations, moins il y a d’endroits où elles peuvent être volées. Vous ne pourrez peut-être pas l’éviter complètement, mais plus vous limitez les données que vous donnez volontairement, mieux vous vous porterez à long terme.
Regardez chaque appel téléphonique, courriel et lien avec scepticisme
Parfois, les conseils les plus anciens restent les plus vrais. L’ingénierie sociale reste l’une des méthodes les plus prolifiques pour s’introduire dans des comptes, probablement en partie parce qu’elle ne nécessite aucune connaissance en matière de codage. Si un acteur malveillant parvient à vous convaincre de fournir votre mot de passe, il n’a pas à se soucier d’infecter votre ordinateur ou de créer un ransomware.
Malheureusement, les appels de spam sont toujours un problème, même avec les efforts récents pour les réduire. Il s’agit notamment de personnes terribles qui se font passer pour la police, de grandes entreprises ou même des membres de votre famille pour vous inciter à communiquer des données ou à dépenser de l’argent. Aucune entreprise ne vous appellera jamais pour vous demander un code de sécurité ou la confirmation d’un mot de passe. Microsoft ou Apple ne vous contacteront pas non plus à l’improviste pour vous aider avec votre ordinateur. Les entreprises vous laisseront venir à elles ; elles ne vous contacteront pas. La meilleure option est de supposer qu’il s’agit d’une escroquerie et de raccrocher.
Il en va de même pour les e-mails et les liens, même s’ils semblent provenir d’un ami. L’une des premières choses qu’un pirate fera après avoir compromis un e-mail est d’envoyer un message à toutes les personnes de la liste de contacts dans l’espoir de compromettre d’autres comptes. Si vous n’avez pas eu de nouvelles d’un ami par courrier électronique depuis longtemps (ou jamais !), et que le vocabulaire et l’orthographe ne correspondent pas à son style habituel, supposez qu’il s’agit d’une arnaque. Appelez-les pour confirmer. Ne cliquez sur aucun lien ; mettez l’e-mail à la poubelle.
Malheureusement, vous pouvez suivre tous ces conseils et être victime d’un virus, d’un ransomware ou d’un piratage. Vous ne pouvez pas faire grand-chose, et si une entreprise à laquelle vous faisiez confiance ne sécurise pas ses serveurs, vous n’avez pas de chance. Mais plus vous êtes protégé, mieux c’est. Vous devrez mettre en balance la sécurité et la commodité, mais vous devriez au moins utiliser un gestionnaire de mots de passe et une authentification à deux facteurs dans la mesure du possible.
Car à ce stade, la question n’est pas de savoir si quelqu’un va essayer de s’introduire dans l’un de vos comptes, mais quand. Et verrouiller les portes après que les voleurs soient déjà à l’intérieur de votre maison est trop tard pour aider.
