En ce moment, plus que jamais, vous devez sécuriser tous vos comptes en ligne. Il est plus que temps d’adopter l’authentification à deux facteurs, d’arrêter de réutiliser les mots de passe et de rendre votre présence en ligne résistante aux pirates. Car tôt ou tard, la cyber-guerre qui se prépare viendra vous chercher.

S’il est vrai que le piratage et la compromission des comptes personnels sont un fléau sur Internet depuis des années, voire des décennies, ce que nous commençons à voir éclipse les menaces que nous avons vécues jusqu’à présent. Abstraction faite de la politique, les événements en cours en Russie et en Ukraine ont déclenché le catalyseur d’une cyberattaque de masse. Et la réponse des autres pays ne fera probablement qu’exacerber ce fait.

Les entreprises constatent déjà des piratages massifs

Au cours de l’année écoulée, les entreprises ont déjà fait les frais de la cyber-guerre qui se prépare. Et ne pensez pas que cela ne vous touchera pas personnellement. Selon le FBI, les ransomwares ont touché 649 organisations d’infrastructures critiques rien qu’en 2021. Cette liste comprend des sociétés d’énergie, des sociétés de transport et des banques. L’endroit où vous stockez votre argent n’est peut-être pas à l’abri d’un virus capable de crypter toutes les informations relatives à vos finances.

L’année 2022 n’est pas mieux partie non plus. Ces dernières semaines, de grandes entreprises comme Microsoft, Samsung, Nvidia et Okta ont été victimes d’intrusions. Si cette dernière entreprise n’est pas très connue, cela ne signifie pas qu’elle n’est pas importante.

Des milliers d’entreprises font confiance à Okta pour vérifier l’accès des utilisateurs aux systèmes internes. Pensez-y comme un portier pour les employés essentiels qui tentent d’accéder aux actifs de l’entreprise. Et soudain, les pirates ont eu accès à potentiellement tout ce que le « portier » faisait.

Okta affirme que seules quelques centaines d’entreprises ont pu être touchées par le piratage, mais ne donne pas de noms. FedEx, T-Mobile, Peloton, Cloudflare et bien d’autres font confiance à Okta pour sécuriser leurs systèmes. Et alors que Microsoft a rapidement révélé la date de l’intrusion, Okta a été beaucoup plus lent à reconnaître que quelque chose s’était produit, sans parler des détails du piratage. Malheureusement, ce n’est pas la première fois et ce ne sera probablement pas la dernière fois qu’une entreprise publie lentement des informations sur une violation qui pourrait vous affecter directement.

S’il n’y a pas grand-chose que vous puissiez faire pour empêcher une entreprise de se faire pirater, ces violations peuvent vous affecter, et vos actions peuvent en atténuer les conséquences. Et vous pouvez tirer des enseignements de la façon dont les entreprises tombent sous le joug des pirates informatiques.

Dans le cas de Microsoft, Samsung, Nvidia et Okta, le même groupe de pirates s’en est pris aux entreprises et a utilisé des méthodes similaires à chaque fois. Des méthodes qui fonctionneront tout aussi bien sur les comptes individuels. Et oui, vos comptes personnels sont en danger.

Les piratages de représailles sont une conclusion oubliée

Les événements mondiaux actuels ne feront qu’aggraver le problème. En réponse aux actions de la Russie en Ukraine, plusieurs pays (dont les États-Unis) ont imposé des sanctions. Des entreprises comme Netflix, Pizza Hut, Apple, IKEA, Master Card, Xbox Live, Spotify, etc. ont suspendu leurs services en Russie. Certaines de ces suspensions empêchent la vente de produits, tandis que d’autres interrompent des services qui ont peut-être déjà été payés à l’avance (comme un an de Netflix).

La Maison Blanche a déjà averti les entreprises qu’elles devaient s’attendre à des représailles et a publié une liste de contrôle pour renforcer les défenses. Mais les groupes parrainés par l’État ne sont pas les seuls à nous inquiéter, et les entreprises ne sont pas les seules cibles probables.

Les particuliers se tournent chaque jour davantage vers le piratage informatique comme forme d’activisme (hacktivisme). Les personnes en colère, prises entre deux feux et privées de services payants comme le Xbox Live ou Netflix, peuvent décider de se déchaîner.

Et même lorsque les émotions ne sont pas vives, des individus se tournent vers l’hacktivisme pour « redresser les torts » ou faire du profit. Plusieurs adolescents ont récemment été arrêtés et accusés d’être le groupe à l’origine des brèches chez Microsoft, Samsung et Okta. Les accusations insinuent que certains des accusés ont gagné des millions de dollars grâce à des attaques antérieures contre des entreprises.

Le groupe Anonymous prétend pirater des individus, des groupes et des entreprises pour « redresser les torts » et « combattre l’injustice » (sans parler du divertissement). Après des années de sommeil, le groupe décentralisé est revenu en se concentrant sur les événements en Russie et en Ukraine.

Les ransomwares sont déjà un énorme problème et infectent souvent les particuliers comme les entreprises, les hôpitaux et les services de police. D’une manière générale, les ransomwares sont des attaques de type « drive-by », qui frappent tout et n’importe qui au hasard. Il n’est pas improbable de voir à l’avenir des attaques plus ciblées pour causer des dommages. La question n’est même pas de savoir si, mais plutôt quand.

Et les créateurs de virus et de ransomwares ne sont pas limités à un pays particulier. Les adolescents accusés d’avoir orchestré l’attaque contre Microsoft et Okta résident en Grande-Bretagne. Quel que soit l’endroit où vivent les créateurs, tout le monde, quel que soit le pays, peut être victime grâce à l’internet.

Se protéger maintenant, avant qu’il ne soit trop tard

Nous pouvons tirer de nombreuses leçons de ce que des entreprises comme Microsoft et Okta sont en train de faire. Tout d’abord, il est beaucoup plus difficile de se remettre d’un ransomware ou d’un piratage que de l’empêcher. La dernière chose que vous souhaitez est de découvrir que tous vos fichiers ont été volés ou cryptés ou que votre mot de passe réutilisé a permis à quelqu’un de débiter votre compte bancaire pour acheter des articles sur Amazon ou de voler vos fonds. La prévention est un effort qui en vaut la peine à chaque fois.

Alors n’attendez pas ; vous devriez donner à chaque compte que vous possédez un mot de passe unique et complexe, de préférence avec un gestionnaire de mots de passe. Ensuite, activez l’authentification à deux facteurs (2FA) chaque fois que vous le pouvez.

Pensez à utiliser une clé matérielle dans le cadre de ce système à deux facteurs. Limitez les informations que vous fournissez aux services en ligne afin qu’elles ne puissent pas être volées. Et regardez chaque lien et chaque e-mail avec scepticisme.

Commencez à utiliser un gestionnaire de mots de passe dès maintenant

Chez Review Geek et notre site frère How-To Geek, nous préconisons depuis longtemps l’utilisation de gestionnaires de mots de passe. Beaucoup trop de gens utilisent encore le même mot de passe pour tous les comptes en ligne qui en demandent un. Pire encore, ces mots de passe continuent d’être terribles et prévisibles. En 2021, les mots de passe les plus courants étaient :

123456
123456789
12345
qwerty
mot de passe
12345678
111111
123123
1234567890
1234567

Votre mot de passe « keyboard walking » n’est ni complexe ni sécurisé

Et lorsque les gens n’utilisent pas ces mots de passe évidents, ils ont souvent recours à des techniques de « marche au clavier » qui ne sont pas du tout complexes. Ces mots de passe sont la norme dans les tentatives de piratage et conduisent généralement à des comptes compromis en peu de temps. L’utilisation de mots de passe faciles à pirater pour tous vos comptes facilite considérablement l’accès à tous vos dossiers.

Dans de nombreux cas, les pirates n’ont même pas à faire d’efforts pour casser votre mot de passe. Ils disposent déjà de votre adresse électronique et de votre mot de passe, grâce à une faille dans l’une des nombreuses entreprises. Si vous pensez que cela ne s’applique pas à vous, il suffit d’entrer votre adresse électronique sur le site HaveIBeenPwned, et vous verrez probablement que vous avez tort.

Les pirates utilisent cette réutilisation à leur avantage dans une attaque appelée « credential stuffing ». Ils prennent vos informations d’identification volées sur Facebook et les essaient sur Spotify, Amazon, etc. S’ils ont de la chance, ils peuvent effectuer des achats ou modifier les informations de connexion pour prendre le contrôle de votre compte. Le « Credential stuffing » est probablement à l’origine des brèches chez Microsoft et NVIDIA, et cela peut vous arriver.

Au lieu de cela, vous devez donner à chaque compte un mot de passe unique et complexe. Et bien que cela soit difficile à retenir, un gestionnaire de mots de passe fera ce travail pour vous. Vous n’avez qu’à vous souvenir d’un seul mot de passe principal qui déverrouille le gestionnaire, puis celui-ci remplit les détails pour vous lorsque vous visitez un site. C’est PLUS pratique que d’essayer de le mémoriser ou de le noter quelque part et de le taper soi-même.

Les 5 meilleurs gestionnaires de mots de passe 2022

Vous pouvez choisir parmi de nombreux gestionnaires de mots de passe, et certains offrent des niveaux gratuits, mais nous pensons que payer pour un gestionnaire de mots de passe peut en valoir la peine. N’oubliez pas que la mise en place d’un gestionnaire de mots de passe ne sert pas à grand-chose si vous ne changez pas tous vos mots de passe réutilisés précédemment et si vous n’utilisez pas le gestionnaire pour générer des mots de passe uniques et complexes à l’avenir.

Activez l’authentification à deux facteurs partout où c’est possible

Qu’est-ce que l’authentification à deux facteurs, et pourquoi en ai-je besoin ?

Si la première étape de la sécurisation de vos comptes consiste à leur attribuer des mots de passe uniques et complexes, la deuxième étape consiste à activer l’authentification à deux facteurs (parfois appelée authentification en deux étapes ou authentification multifactorielle) partout où cela est possible.

En général, lorsque vous souhaitez accéder à un service en ligne comme votre banque ou Spotify, vous fournissez un nom d’utilisateur (souvent sous la forme de votre adresse électronique) et un mot de passe. Si vous avez les deux, vous pouvez accéder au service. Si un pirate a les deux, il peut y accéder, grâce à un bourrage de crédits ou à l’ingénierie sociale.

L’authentification à deux facteurs vise à empêcher ce dernier cas en vous demandant de fournir une deuxième preuve d’identité. Cette preuve sera fournie par un appareil que vous possédez et gardez sur vous, comme votre téléphone. Après avoir saisi votre mot de passe, le service vous demandera un code généré à usage unique. Ce code peut vous être envoyé par courrier électronique, par SMS (message texte) ou être généré dans une application. Sur les trois possibilités, les deux premières sont « mieux que rien » mais ne sont pas sûres.

Des pirates peuvent s’introduire dans votre courrier électronique pour saisir le code, par exemple. Ils peuvent aussi convaincre votre opérateur téléphonique d’échanger votre numéro SIM contre un autre qu’ils contrôlent, ce qui leur permet d’intercepter vos SMS.

Si vous utilisez une application, telle que Microsoft Authenticator, Google Authenticator ou Authy, pour fournir votre code, la possession physique de votre téléphone devient un obstacle au piratage. En théorie, il faudrait à la fois voler votre mot de passe et votre téléphone (et tout mot de passe correspondant) pour accéder à votre compte.

Malheureusement, vous n’avez pas toujours le choix. Certains services ne prennent pas du tout en charge les données d’authentification à deux facteurs, tandis que d’autres n’autorisent que les options d’e-mail ou de SMS et ne prennent pas en charge les authentificateurs d’applications. Mais chaque fois que vous le pouvez, vous activez l’authentification à deux facteurs et, si possible, vous l’associez à une application. Et dans certains cas, vous pouvez même envisager d’utiliser une clé de sécurité matérielle.

Les clés de sécurité matérielles sont une option à envisager

Qu’est-ce qu’une clé de sécurité USB, et devez-vous en utiliser une ?

Si vous aimez l’idée d’une authentification à deux facteurs avec un composant matériel, mais que vous ne voulez pas utiliser votre téléphone comme matériel, vous pouvez envisager une clé de sécurité. Avec une clé de sécurité, vous bénéficiez toujours des avantages de l’authentification à deux facteurs, à savoir la nécessité d’un mot de passe et d’une preuve d’identité, mais vous n’avez pas à vous soucier de la saisie d’un code généré.

Au lieu de cela, vous insérez la clé et elle s’occupe de tout le reste. Lorsque cela fonctionne, c’est souvent plus transparent et peut être plus pratique que les codes à usage unique. Mais les services qui prennent en charge les clés matérielles sont moins nombreux, et pour qu’elles fonctionnent avec votre téléphone ou votre tablette, il faut dépenser plus pour une version NFC, Bluetooth ou USB-C.

Certains systèmes d’exploitation, comme Windows, vous permettront même de déverrouiller votre appareil avec une clé. Et si la configuration est correcte, vous pouvez même éviter d’avoir à fournir un mot de passe. Dès que vous retirez la clé et verrouillez l’appareil, il devient plus difficile de s’introduire dans la machine.

Les clés de sécurité matérielles peuvent constituer une excellente option pour sécuriser vos comptes, mais étant donné que de plus en plus de services prennent en charge l’authentification à deux facteurs basée sur un code, cette solution est peut-être la meilleure et la plus pratique. La sécurité est toujours un équilibre entre la protection et la commodité. Plus vous verrouillez un compte, moins il est pratique à utiliser. Plus vous rendez l’accès à un compte facile, moins il est sécurisé.

Limitez vos informations chaque fois que possible

Chaque fois que vous vous inscrivez à un compte en ligne, on vous demande une tonne de données personnelles. On peut vous demander votre vrai nom, votre adresse, votre numéro de sécurité sociale, votre adresse électronique, le nom de jeune fille de votre mère, votre numéro de carte de crédit ou votre groupe sanguin (la dernière est une blague, mais à peine).

Parfois, ces données sont nécessaires. Par exemple, Amazon ne peut pas vous envoyer le dernier gadget que vous avez commandé sans adresse. Mais le service météorologique qui, de manière frustrante, a exigé un compte pour voir des données granulaires, a-t-il vraiment besoin d’un numéro de sécurité sociale ? Absolument pas, et si la demande est totalement déraisonnable et inévitable, vous devriez aller voir ailleurs.

En effet, plus une entreprise possède de données sur vous, plus les pirates informatiques en tireront profit lorsqu’ils pénétreront inévitablement dans ses serveurs. Ils obtiendront des noms, des adresses électroniques, des mots de passe, etc. Votre seul espoir est que l’entreprise ait fait un bon travail en séparant les données critiques et en les cryptant correctement. Mais trop souvent, les entreprises ont admis avoir stocké les mots de passe avec un mauvais cryptage, ou pire, en texte clair. Ne faites pas confiance aux entreprises pour faire ce qu’il faut.

Et ce n’est pas parce que vous devez fournir des données pour une utilisation unique que vous devez accepter de les conserver sur les serveurs de l’entreprise. Au moment de régler un achat sur Amazon, Best Buy ou la pizzeria du coin, l’entreprise vous proposera probablement de stocker votre numéro de carte de crédit pour vos futurs achats.

Mais pensez au risque : vous vous épargnez un peu de tracas et de temps en évitant de sortir votre carte et de taper vos chiffres. Cependant, la prochaine fois que ce service sera piraté, la décharge de données pourra inclure votre numéro de carte de crédit (crypté, espérons-le). Au contraire, si vous choisissez de ne pas enregistrer votre numéro de carte sur le site, il ne se retrouvera pas dans la masse de données, et vous serez mieux loti.

Moins vous fournissez de données, moins elles peuvent être volées. Et moins il y a de sites auxquels vous donnez vos informations, moins il y a d’endroits où elles peuvent être volées. Vous ne pourrez peut-être pas l’éviter complètement, mais plus vous limitez les données que vous donnez volontairement, mieux vous vous porterez à long terme.

Regardez chaque appel téléphonique, chaque courriel et chaque lien avec scepticisme

Parfois, les conseils les plus anciens restent les plus vrais. L’ingénierie sociale reste l’une des méthodes les plus prolifiques pour s’introduire dans des comptes, probablement en partie parce qu’elle ne nécessite aucune connaissance en matière de codage. Si un acteur malveillant peut vous amener à fournir votre mot de passe, il n’a pas à se soucier d’infecter votre ordinateur ou de créer un ransomware.

Malheureusement, les appels de spam sont toujours un problème, malgré les efforts récents pour les réduire. Il s’agit notamment de personnes terribles qui se font passer pour la police, de grandes entreprises ou même des membres de votre famille pour vous inciter à fournir des données ou à dépenser de l’argent.

Aucune entreprise ne vous appellera jamais pour vous demander un code de sécurité ou la confirmation d’un mot de passe. Microsoft ou Apple ne vous contacteront pas non plus à l’improviste pour vous aider avec votre ordinateur. Les entreprises vous laisseront venir à elles ; elles ne vous contacteront pas. La meilleure option est de supposer qu’il s’agit d’une arnaque et de raccrocher.

Il en va de même pour les e-mails et les liens, même s’ils semblent provenir d’un ami. L’une des premières choses qu’un pirate fera après avoir compromis un e-mail est d’envoyer un message à toutes les personnes de la liste de contacts dans l’espoir de compromettre d’autres comptes. Si vous n’avez pas eu de nouvelles d’un ami par courrier électronique depuis longtemps (ou jamais !), et que le vocabulaire et l’orthographe ne correspondent pas à son style habituel, supposez qu’il s’agit d’une arnaque. Appelez-les pour confirmer. Ne cliquez sur aucun lien ; mettez l’e-mail à la poubelle.

Malheureusement, vous pouvez suivre tous ces conseils et être victime d’un virus, d’un ransomware ou d’un piratage. Il n’y a pas grand-chose que vous puissiez faire, et si une entreprise en qui vous aviez confiance ne sécurise pas ses serveurs, vous n’avez pas de chance. Mais plus vous êtes protégé, mieux c’est. Vous devrez mettre en balance la sécurité et la commodité, mais vous devriez au moins utiliser un gestionnaire de mots de passe et une authentification à deux facteurs chaque fois que possible.

Car à ce stade, la question n’est pas de savoir si quelqu’un va essayer de s’introduire dans l’un de vos comptes, mais quand. Et verrouiller les portes après que les voleurs soient déjà à l’intérieur de votre maison est trop tard pour aider.