Nous l'avons appris à nos dépens : même au sein d'une équipe sensibilisée aux problèmes de sécurité informatique, une erreur est toujours possible, et peut suffire à ouvrir la porte à des individus malveillants. Si le pire a pu être évité, cela a aussi été l'occasion, pour tous les salariés du Monde, de faire une piqûre de rappel concernant les bonnes pratiques. Nous vous partageons ici quelques règles et conseils que nous tentons d'appliquer au maximum dans notre travail quotidien... et qui auraient pu nous éviter d'être piratés si nous les avions toutes appliquées.
1) Se méfier des messages louches
C'est, dans la plupart des cas, le principal moyen utilisé par des pirates pour s'introduire dans le système informatique d'une entreprise ou les comptes d'un particulier : le « hameçonnage » (« phishing » en anglais) consiste à envoyer un courriel qui semble légitime, mais qui contient une pièce jointe cachant un programme malveillant ou un lien qui renvoie vers une page Web piégée, qui vous incite à entrer un mot de passe pour vous le voler, ou à télécharger un logiciel malveillant.
De très nombreux escrocs de tous types utilisent cette technique : il est assez simple de faire croire qu'un message électronique provient d'une autre adresse que celle qui l'a réellement envoyée, et un pirate qui a pris le contrôle d'une boîte e-mail peut facilement envoyer des messages frauduleux à tout le carnet d'adresse du compte.
Pour repérer les messages piégés, il existe cependant plusieurs éléments qui peuvent vous mettre la puce à l'oreille : ils sont le plus souvent écrits dans un mauvais français ou en anglais, et sont très brefs – ils contiennent parfois uniquement un lien. En survolant le lien avec le curseur de la souris, sa destination s'affichera en bas à gauche de votre navigateur : vérifiez si le lien renvoie bien vers la page qu'il prétend être. Par exemple, ce lien semble renvoyer vers la une du Monde.fr mais renvoie en réalité vers la rubrique Pixels : http://www.lemonde.fr
Autre élément important : toutes les pages qui utilisent des mots de passe ou font transiter des informations sensibles (sites des impôts, d'EDF, des banques et assurances, mais aussi les messageries électroniques) utilisent un protocole sécurisé pour éviter que des informations sensibles soient dérobées. Ces pages affichent à gauche de la barre d'adresse un petit cadenas fermé qui confirme que la connexion est sécurisée. Les fausses pages qui les imitent et tentent de piéger les internautes n'en disposent pas : en cas de doute, vérifiez que ce cadenas est bien présent.
2) Choisir un « bon » mot de passe (et le changer régulièrement)
Si, dans la plupart des cas, les pirates utilisent des techniques d'hameçonnage pour pénétrer dans les boîtes e-mail de leurs cibles, il existe des logiciels qui permettent de tenter de « casser » un mot de passe en tentant toutes les combinaisons possibles : c'est l'approche dite de « force brute ». Par ailleurs, quelqu'un qui vous connaît bien – ou qui a fait des recherches sur vos centres d'intérêt en ligne, par exemple – peut tenter de deviner votre mot de passe.
Il est donc recommandé d'utiliser plutôt une « phrase de passe » : plus le code secret est long, et plus il est difficile à « casser » ou à deviner. Il existe plusieurs « recettes » pour générer des phrases de passe à la fois complexes à deviner et simples à retenir, vous en trouverez quelques exemples ici.
Enfin, de nombreux services e-mail ou réseaux sociaux proposent une option « Question secrète », à laquelle vous devez répondre lorsque vous faites une demande de renouvellement de mot de passe. Attention à ne pas utiliser une réponse qui peut être facilement retrouvée par ailleurs, comme le nom de jeune fille de votre mère : préférez une information que vous seul connaissez.
Plus généralement, il est très fortement déconseillé d'utiliser un même mot de passe pour plusieurs services – si l'un d'entre eux est piraté, tous vos autres comptes sont menacés. Changer régulièrement de mot de passe est également une bonne habitude à prendre. Si vous trouvez qu'il est trop compliqué de vous souvenir de plusieurs mots de passe, vous pouvez aussi utiliser des solutions comme Keepass (un logiciel libre) et Passpack (un coffre-fort de mots de passe en ligne), des gestionnaires de mots de passe qui « s'ouvrent » au moyen d'un mot de passe maître unique.
Bien sûr, ces règles s'appliquent aussi bien au mot de passe de votre boîte e-mail qu'à ceux que vous utilisez pour vous connecter à d'autres services, comme les réseaux sociaux. Dans tous les cas, n'utilisez pas un même mot de passe pour tous les services : si l'un d'eux est piraté, les intrus détiendront les clefs de tous vos comptes !
3) Ne pas partager de mots de passe par e-mail
Lorsque l'on utilise de nombreux services avec un mot de passe, il n'est pas toujours évident de se souvenir de tous… C'est pourquoi de nombreuses personnes enregistrent leurs mots de passe dans leur boîte e-mail ou dans un document stocké en ligne. Mais si cette approche est pratique, elle est très dangereuse : il « suffit » à une personne mal intentionnée de pénétrer votre messagerie pour avoir instantanément accès à votre page Facebook, à votre compte Steam ou YouTube, ou encore à vos informations de connexion pour le site de votre banque…
Envoyer à un ami ou collègue le mot de passe permettant à se connecter au compte Twitter de votre association sportive ou au blog que vous écrivez à plusieurs mains aboutit au même résultat : si vous partagez le mot de passe par courriel, vous augmentez les chances qu'un tiers puisse en prendre connaissance, et ce même si vous avez pris toutes les précautions pour sécuriser votre boîte e-mail. Un peu comme si vous envoyiez des clefs par la poste – êtes-vous certain que la boîte aux lettres de votre destinataire est bien fermée à clef et qu'on ne peut pas y glisser la main ?
Pour partager un mot de passe, rien ne vaut une méthode plus classique : le donner à l'oral, ou l'écrire sur un post-it (que l'on ne laisse pas traîner sur son bureau...).
4) Utiliser la double authentification
La double authentification est un principe de sécurité très simple : elle ajoute une « deuxième validation » avant de laisser quelqu'un se connecter à un compte. La plupart des banques ont adopté un système de double authentification pour les paiements en ligne : il faut en général entrer les coordonnées de votre carte bancaire, mais aussi un mot de passe qui vous est envoyé par SMS.
Les services Web proposent de plus en plus cette option : c'est notamment le cas de Gmail, d'iCloud d'Apple, de PayPal, de Facebook et de Twitter… C'est une fonctionnalité légèrement contraignante, mais qui sécurise très fortement un compte.
5) Prendre quelques précautions avec son téléphone ou son ordinateur portable
Les mesures de sécurité les plus draconiennes ne sont d'aucune utilité si tout un chacun peut accéder à votre ordinateur ou à votre téléphone pour y consulter directement vos e-mails ou y installer un logiciel-espion. Des choses simples permettent de l'éviter : mettre un code de déverrouillage sur son téléphone, par exemple, ou encore choisir un mot de passe au démarrage de votre ordinateur portable. En cas de vol ou d'« emprunt », cela évitera qu'un tiers mal intentionné accède à vos informations personnelles.
Comme le rappelle avec humour le webcomic XKCD, il est plus simple de forcer quelqu'un à donner son mot de passe que de mettre en place un système extrêmement complexe pour « casser » la protection !
De même, si d'autres personnes que vous ont accès à votre ordinateur – si vous travaillez en open space par exemple – il est recommandé de ne pas enregistrer ses mots de passe dans le navigateur. Une bonne partie des piratages ne sont pas le fait de hackeurs syriens, mais sont réalisés par des proches, conjoints jaloux ou collègues malveillants...
Voir les contributions
Réutiliser ce contenu
