HS #1: La sécurité sur internet
Bonjour à tous et à toutes et bonne année 2020! Aujourd’hui, un mezzo-mezzo un peu hors-série, car nous allons parler ici sécurité. Alors non, je ne vais pas rabâcher les énièmes conseil à 1 sou du genre: il faut éviter 123456 comme mot de passe, il faut un mot de passe par site (car ce sont des évidences)… Ici, je vous propose des vraies solutions.
Alors qui dit nouvelle année, dit nouvelles résolutions. Et si on commençait par s’inquiéter de notre propre sécurité informatique? Vous allez me dire que « Ce n’est pas prioritaire » ou alors « On est des petits, ça ne nous concerne pas »…. en 2018, ce sont près de 200 millions de données qui ont été fuités sur le net, et parmi elles, des mots de passe, des adresses mails, ainsi que des informations personnelles.
On peut aussi objecter qu’avec les adresses de secours généralement présentes dans les comptes, on se sent en sécurité… Sauf que lorsqu’un pirate parvient à prendre le contrôle d’un compte, il va essayer d’ouvrir votre boîte mail, et s’il y parvient… c’est déjà trop tard pour vous!
Il ne s’agit pas ici de faire un bilan de ces fuites, mais de vous aider à mieux vous prémunir contre ces fuites. Voici quelques conseils:
1) Classez vos sites
Cela peut être idiot, mais pour identifier des failles, il faut identifier les cibles potentielles. Et pour cela, il faut classer vos sites par ordre d’importance. Je vous propose ici 10 catégories pour classer vos sites, et y appliquer des stratégies différentes. (Note: Ceci est un classement purement arbitraire, a vous de l’adapter en fonction de vos usages du net):
- Sites bancaires et financiers
- Sites administratifs et fournisseurs
- Sites et services de messagerie
- Sites de réseaux sociaux
- Sites de shopping avec ou sans mémorisation d’informations de paiement
- Sites de divertissement et forums à usage quotidien
- Sites professionnels
- Sites de divertissement et forums à usage faible
- Sites occasionnels
- Sites demandant peu d’informations et sites « morts »
Explications de chaque catégorie:
10) Il s’agit ici de tous les établissements bancaires ou qui vous accordent des crédits.
9) Dans cette catégorie: nous retrouvons tous les sites de l’administration (Sécurité sociale, CAF, impôts etc…) mais aussi tous les sites des différents créanciers qui prélèvent sur votre compte (Gaz, Électricité etc…)
8) Le nom est transparent, il va s’agir de tous les services de mail
7) La aussi, le nom de catégorie est assez clair. On y retrouve tous les réseaux sociaux (Twitter, FB, etc…)
6) Ici nous trouvons tous les sites où vous achetez des objets ou des services, et qui mémorisent (où non) vos données de paiement (Numéro de CB).
5) Nous attaquons la moitié du classement avec les sites qui vous servent au quotidien (Youtube, Netflix etc…) ainsi que les forums où vous êtes actifs
4) Nous rencontrons ici tous les sites extranet (si vous en avez) liés à votre société. En effet, il suffit de demander à votre administrateur de changer le mot de passe pour régler une éventuelle fuite
3) A l’inverse du 5, ici nous trouvons les sites où votre activité est proche de zéro. A savoir, les sites qui servent juste à accéder une fois à une info
2) Ici vont tomber les sites qui ne servent qu’une fois par an (ou moins)
1) Et nous fermons la liste avec les sites n’exigeant qu’un couple login/mot de passe pour y accéder, ou les sites qui ne sont plus mis à jour.
Ce classement est établi, comme vous l’avez deviné, en fonction de la criticité des informations, ainsi que de la facilité à récupérer vos infos en cas de corruption.
2) Appliquez des stratégies en fonction de la criticité
Une fois que vous avez identifié les sites sensibles, il est maintenant temps d’appliquer des stratégies de mot de passe en fonction du niveau. Par exemple:
–> Pour un site de niveau 7 à 10, il faudra changer le mot de passe régulièrement (tous les 90 jours maximum), activer un facteur d’authentification supplémentaire et appliquer des complexités de mot de passe
–> Pour les sites de 4 à 6, un simple changement de mot de passe régulier ainsi que la complexité des mots de passe peut suffire
–> Enfin, pour les catégories basses (1 à 3), un simple changement de mot de passe régulier peut suffire
Il faudra, pour les niveaux les plus sensibles activer l’authentification multi-facteurs. Cette méthode, appelée 2FA (2nd Factor Authentication) vous permet de recevoir un SMS (ou d’obtenir via une application smartphone) un code temporaire à 6 chiffres (généralement valable 30s) qui permet de s’assurer qu’il s’agisse bien de vous (exactement que le Visa Secure code). Bien entendu, il faudra imprimer une liste de codes de secours au cas où votre smartphone tomberait en panne.
3) Gérez vos mots de passe grâce à un logiciel de gestion de mots de passe
Vous allez me dire: « Tu es bien gentil, mais comment je retiens des dizaines de mots de passe complexe? J’ai déjà du mal à retenir mes numéros de téléphone… » et je suis entièrement d’accord avec vous.
Alors que faire? Noter les mots de passe sur un post-it? (Pour permettre à n’importe qui de prendre l’info) Utiliser le même mot de passe de partout? (Ainsi le hacker aura une clef pour entrer de partout) ou pire, noter tous ses mots de passe dans un carnet de notes dans son bureau? (Histoire de laisser toute sa vie se laisser voler)
Le réponse tient dans un logiciel: un gestionnaire de mot de passe. Le principe est simple: Une base de données, protégée par un mot de passe principal (ou même une phrase de passe), qui stocke tous vos mots de passe.
En quoi est-ce différent des autres méthodes citées en introduction de ce point? La base de donnée est chiffrée et inaccessible sans le mot de passe principal. Ainsi, si un pirate essaye de lire votre base, il n’y arrivera pas.
De plus, cette base de donnée peut être mis sur un cloud, et consultée sur un smartphone.
Il en existe pour tous les goûts et toutes les bourses:
–> Dashlane (gratuit ou 40€/an) dont la version gratuite est limitée à 50 comptes et sans synchronisation cloud
–> 1 password (gratuit ou de 35.99€/an à 59.99€/an) qui vous permet d’inviter jusqu’à 5 membres dans votre compte (Oui, c’est totalement netflix…)
–> Keepass (gratuit) qui est un logiciel recommandé par la CNIL et disposant d’une plétorde d’extensions des plus simples aux plus avancées pour les bricoleurs.
Point bonus: laissez des instructions après vous
Cela peut être idiot, mais qui prendra soin de vos affaires si vous disparaissez? Il est donc crucial de penser à donner à un tiers de confiance (votre conjoint(e) par exemple) les moyens d’accéder à votre gestionnaire de mots de passe au cas où il vous arrive quelque chose.
Dans les cadres de disparitions, il peut être compliqué pour un ayant-droit de faire valoir ses droits, car un fichier se trouve dans une machine sans accès.
En conclusion, n’oubliez pas de penser à votre sécurité, et quitte à ne tenir qu’une seule bonne résolution cette année (hormis la 1720*1280 haha), celle des mots de passe bien gérés me semble être un bon début.
Bonne année 2020 à vous, et merci de me suivre cette année encore.