« Je n'ai rien à cacher » n'est pas une excuse valable pour vous permettre d'être imprudent.
Si vous êtes ni millionnaire, ni un personnage public, ni un criminel international, il est en effet possible qu'aucun hacker ne vous cible personnellement, mais ça ne vous protège pas pour autant.
Les pirates ciblent la masse : les vols de mots de passe, les ransomwares, et les campagnes de phishing visent des millions de personnes à la fois. La probabilité que vous en soyez victime un jour est donc très forte [1].
Personne n'est à l'abri d'être un jour la cible d'un amoureux éconduit, d'un concurrent jaloux ou d'un ami trop curieux, ça arrive tous les jours, à des dizaines de milliers de personnes.
Mon objectif est de vous donner quelques règles simples pour vous éviter par exemple que :
Ces recommandations ne constituent en aucun cas un moyen d'échapper à la NSA ou toute autre organisation gouvernementale ou paragouvernementale [2].
Je ne suis ni pirate ni ingénieur informatique, mais comme vous, je passe ma vie sur Internet. Les recommandations que je fais ne sont pas très complexes à appliquer, il s'agît surtout de bon sens et de bonnes pratiques. Autant que possible, j'ai essayé d'être ni parano, ni complotiste.
Ce guide est forcement imparfait. Certains le trouveront trop léger, et beaucoup le trouveront trop complexe. Selon moi, il s'agît du minimum vital.
[1] : Il est d'ailleurs fort probable que l'un de vos comptes ai déjà été piraté. En entrant votre email sur ce site, vous pourriez-bien découvrir que vos données ont déjà été corrompues. ↩
[2] : Si vous souhaitiez néanmoins sérieusement échapper à des organisations de type NSA il vous faudrait au minimum : bannir l'utilisation de tous les réseaux sociaux, n'utiliser aucun service de stockage cloud, vous connecter sur Internet via le réseau Tor, créer des chaînes de proxy, vous intéresser à la cryptographie, etc. ↩
N'importe quel Fournisseur d'Accès Internet (FAI) peut vous espionner et enregistrer votre activité.
Vous pouvez, a priori, plutôt faire confiance à votre connexion à domicile, au bureau, ou à votre opérateur mobile, mais les connexions wifi publiques sont vraiment très risquées. Et même si le café, l'aéroport ou l'hôtel ne vous espionne pas directement, il est souvent possible pour un hacker de surveiller votre activité sur ces réseaux ouverts, et donc de récupérer vos informations confidentielles.
Si vous devez utiliser des connexions publiques (cafés, aéroports, hôtels, etc.), utilisez impérativement un VPN sur votre ordinateur, mais aussi sur tous vos appareils mobiles.
Un VPN est un système qui chiffre et masque votre activité sur Internet. Ainsi, ni un hacker, ni le fournisseur de votre connexion Internet ne peuvent savoir ce que vous faîtes.
Idéalement, il faudrait utiliser un VPN tout le temps, même chez vous.
Attention cependant, le VPN pourrait lui même enregistrer vos informations personnelles. Il faut donc impérativement veiller à utiliser un VPN de confiance et payant [3].
Voici une sélection de quelques VPN :
[3] : Car « Si c’est gratuit, c’est que vous êtes le produit. » ↩
Générez des mots de passe complexes de 9 caractères minimum
Une des techniques courante pour trouver un mot de passe est de tester toutes les combinaisons possibles [4].
En dessous de 9 caractères, il faut seulement quelques heures pour tester toutes les combinaisons possibles d'un mot de passe [5].
A partir de 9 caractères il faut théoriquement plusieurs mois pour casser votre mot de passe.
Attention cependant, ça n'est valable que si votre mot de passe contient à la fois des lettres minuscules et majuscules, des chiffres et des symboles. Car pour casser un mot de passe de 9 caractères composé seulement de lettres, il suffit quelques-minutes.
Voici quelques générateurs de mots de passes en ligne :
Utilisez des mots de passe uniques pour chaque service
Une autre manière courante de récupérer des mots de passe pour les hackers est d'acheter des mots de passe volés sur d'autres sites.
Domino's Pizza, Playstation, Uber, eBay, UPS, Yahoo, Evernote, Nintendo, Linkedin par exemple [6] ont tous connus des vols massifs de données. Si vous aviez par exemple le même mot de passe sur Linkedin et sur Gmail quelqu'un pourrait s'introduire dans votre boite mail.
Il faut bien imaginer que tout cela se fait à grande échelle. Les pirates achètent des énormes packs de mots de passe volés, et les testent systématiquement sur tous les sites qui les intéressent : Amazon, Google, Skype, Paypal, etc.
Ce n'est donc pas simplement une recommandation. Il est absolument nécessaire que vous ayez des mots de passe uniques sur chaque site. Sinon, toutes vos données personnelles pourraient finir par être compromises.
[4] : Attaque par force brute ou Attaque par dictionnaire ↩
[5] : Vous pouvez tester le temps théorique qu'il faudrait pour craquer vos mots de passe sur ce site ↩
[6] : Une liste des principaux vols massifs de données ici ↩
Mails, réseaux sociaux, programmes de fidélité, finances, applications mobiles, etc. nous avons tous au minimum plusieurs dizaines de mots de passe, et il n'est pas humainement possible de tous les retenir (surtout quand vos mots de passe ressemblent à ça : 2=4Dq7h!N9).
La solution que nous utilisons en général par défaut est donc de laisser notre navigateur Internet se souvenir de nos mots de passe. C'est une assez mauvaise habitude.
Même si la plupart des navigateurs cryptent vos mots de passe, ils sont affichés en clair à partir du moment où l'ordinateur et le navigateur sont ouverts.
Quiconque s'introduirait sur votre machine pourrait donc à sa guise se connecter à tous vos services en ligne.
Ensuite, les navigateurs ne retiennent que les mots de passe utilisés sur des pages Internet. Au fil du temps, vous avez donc des mots de passe partout : dans vos navigateurs Internet au bureau à la maison et sur mobile, dans votre système d'exploitation pour les accès wifi, dans un fichier « notes » pour les applications sur Smartphone, sur un carnet papier pour certains accès professionnels, etc.
Ce système de gestion chaotique est trop complexe pour qu'il soit fiable et pérenne. Comment ferez-vous dans 5 ans ? Et quand vous changerez d'ordinateur ? Vous laissez forcement trainer des informations sensibles à de très nombreux endroits, et pour vous faciliter la vie, vous utilisez très probablement les mêmes mots de passe sur de nombreux services.
Utilisez un gestionnaire de mots de passe pour sécuriser en un seul lieu tous vos mots de passe, vos adresses, vos numéros de téléphones, vos IBANs, vos cartes de fidélités, etc.
Les gestionnaires de mots de passe chiffrent l'ensemble de ces données sensibles. Il vous suffit alors d'entrer votre mot de passe principal pour tout débloquer.
C'est bien sûr la faille de ce système. Si quelqu'un entre sur votre machine (physiquement ou virtuellement) et que votre mot de passe principal est compromis, c'est toute votre vie numérique qui peut être volée.
Ce n'est pas une solution parfaite, mais c'est pragmatique, simple et relativement sécurisé.
Choisissez un mot de passe très complexe pour encrypter l'accès à votre gestionnaire de mots de passe (une quinzaine de caractères), ne le notez-pas, retenez-le.
Supprimez ensuite tous vos mots de passe sur Chrome, Firefox, Safari ou Edge, désactivez l'enregistrement automatique des mots de passe, et n'utilisez plus que votre gestionnaire de mot de passe.
Les gestionnaires de mot de passe permettent en général de générer automatiquement des mots de passes complexes pour chaque accès. C'est donc un problème de moins à se préoccuper.
Voici une sélection de quelques Gestionnaires de mots de passe :
De nombreux types d’attaque permettent de trouver vos mots de passe. Si vous êtes ciblés personnellement, l'ingénierie sociale est par exemple l'une des méthodes les plus redoutable.
Le social engineering est le fait d'utiliser votre ignorance ou votre crédulité pour voler vos informations personnelles. Cela peut se concrétiser par exemple (parmi des centaines d'autres techniques possibles) par un faux mail envoyé de la part de votre responsable informatique pour vous demander de changer votre de mot de passe [7]. C'est par ce genre de techniques par exemple que les emails d'Hillary Clinton auraient été volés.
Une des seules façons de vous protéger face à un vol de mot de passe est l'authentification à deux-facteurs.
Vous devez impérativement activer cette fonctionnalité sur tous vos comptes sensibles.
Concrètement, une fois l'authentification à 2 facteurs activée, à chaque fois que vous vous connectez depuis un nouvel appareil, vous recevez un code de sécurité (par SMS, ou affiché sur votre mobile) pour valider votre accès.
Voici des infos pour configurer 2-Factor authentication sur les principaux services en ligne :
N'oubliez pas votre banque bien sûr !
C'est une contrainte supplémentaire, mais c'est là aussi absolument nécessaire pour des comptes aussi sensibles.
J'utilise personnellement Google Authenticator dès que c'est possible. C'est selon moi plus pratique, fiable et rapide que les SMS.
Lorsque vous activez l'authentification à 2 facteurs, ont vous propose en général de générer des clés de secours pour le cas ou vous perdriez votre mobile. Si vous avez opté pour un gestionnaire de mots de passe, c'est le bon endroit pour y stocker ces clés.
[7] : Voir Hameçonnage ou Phishing ↩
C'est un des conseils les plus répandus, je ne vais donc pas m'attarder là dessus. Mais là aussi c'est très important.
La sécurité numérique est un gigantesque jeu du chat et la souris à l'échelle mondiale entre les hackers, les agences gouvernementales et les services en ligne.
Les services numériques mettent donc à jour en permanence leurs outils au fur et à mesure de la découverte de failles de sécurité.
Nous n'aimons pas toujours laisser la main à Microsoft, Apple, Google ou des antivirus pour qu'ils fassent directement des modifications sur nos appareils, mais c'est pourtant une des façons les plus efficace de se protéger.
Installez un antivirus (même sur macOS et Android) et activez les mises à jours automatiques sur tous vos appareils.
Voici quelques guides pour activer les mises-à-jour automatiques :
Je ne m'attarderais pas non plus là-dessus tellement il est évident qu'il faut impérativement sauvegarder régulièrement vos données.
Regardez du côté de Time Machine sous MacOS et du côté de l'Historique des fichiers sous Windows.
La question de la sauvegarde de vos données dans le Cloud est très sensible. C'est à chacun de peser le pour et le contre.
Vos données sur Google Drive, Dropbox et iCloud, sont aussi sécurisées que vos comptes sur ces services. Si votre mot de passe est unique et complexe, et que vous avez activé l'authentification à 2 facteurs. Vos données sont relativement bien protégées contre un hacker isolé.
En revanche, c'est une porte d'accès directe pour les agences fédérales américaines [8].
Tout ce qui est très sensible ne devrait pas s'y trouver : vos mots de passes, vos documents d'identité, vos photos coquines, etc.
Vos comptes Facebook et Google sont souvent requis pour accéder à des services secondaires tels que Netflix, Airbnb, Instagram ou Uber.
Si c'est effectivement très pratique et rapide, au bout de quelques-années on se retrouve à avoir autorisé l'accès à nos données personnelles à des dizaines de services plus ou moins éthiques et sécurisés.
Est-il vraiment important de donner notre identité complète et toute notre liste d'amis à Tinder, Tripadvisor, Spotify ou Pinterest ?
Vous ne devriez donner l'accès à vos comptes Facebook et Google principaux que lorsque c'est absolument nécessaire. Pour tous les services où l'anonymat est possible, vous devriez utiliser des comptes secondaires.
En plus de sécuriser vos données personnelles, avoir 2 comptes pour Facebook et Google permet aussi de pouvoir nous exprimer plus librement et anonymement et d'éviter le SPAM ou l'envahissement des notifications sur nos comptes principaux.
Idéalement toutes les quelques années, on remplacera nos comptes secondaires.
Si vous ne souhaitez pas utiliser de comptes secondaires :
[9] : Vos amis sont une excellente porte d'entrée pour le phishing, le chantage et l'ingénierie sociale ↩
Dès que c'est possible, achetez sur Amazon plutôt que sur un site marchant directement ou payez via Paypal, Apple Pay ou Google Wallet.
Non seulement ces services sont reconnus pour être parmi les plus sécurisés, mais ils offrent aussi des politiques de protection du consommateur très avantageuses. Si un produit ou un service n'est pas livré ou n'est pas conforme, il sera très facile de vous faire rembourser, souvent même sans avoir à vous justifier.
Bien sûr en passant encore et encore par ses services, nous renforçons toujours plus leur position dominante. Mais entre deux maux, il faut choisir le moindre. Pour moi c'est limpide, la sécurité des transactions passe très loin devant le militantisme, le protectionnisme économique et les postures philosophiques (Laissons ces sujets à nos dirigeants).
Evitez aussi d'enregistrer vos cartes bancaires sur des services secondaires comme Netflix, Booking, Agoda, Airbnb, etc. Au minimum, ce sera plus facile d'arrêter un prélèvement automatique via Paypal ou Apple Pay par exemple, mais vos transactions seront aussi probablement plus sécurisées.
De nombreux services et applications proposent désormais de crypter nativement vos données et vos messages. Encore faut-il l'avoir activé.
Activez le cryptage partout où c'est possible
Pour votre ordinateur, activez File Vault sur macOS ou BitLocker Drive Encryption sur Windows.
Pour votre mobile, utilisez simplement votre identifiant Apple pour que vos appareils iOS soit cryptés. Sur Android ça dépend du constructeur, mais c'est généralement possible aussi.
C'est aussi possible pour de nombreuses applications de messagerie comme Gmail, Messenger, Skype, WhatsApp, Line, WeChat, etc. mais il faut vous renseigner au cas par cas, selon votre usage personnel.
Si vous avez besoin de protéger plus fortement des données privées comme un dossier médical, des photos coquines, des Bitcoins, une double vie, etc. vous devriez fortement envisager de vous construire un Coffre-fort numérique.
Il existe des logiciels de cryptage assez faciles à utiliser et reconnus comme a priori fiables. Par exemple :
Renseignez-vous.
Je suis parti du principe que vous n'étalez pas votre vie privée en public. Ce n'est pas donc pas l'objet de ce guide, mais je vous recommande de ne pas publier pas votre localisation ou vos coordonnées personnelles et de masquer votre liste d'amis.
Entrez régulièrement votre nom, email, mobile et adresse sur Google pour vérifier ce qui est indexé publiquement.
A partir d'un autre compte Facebook, cherchez vos publications, photos et vidéo vidéos, et vérifiez que ce qui est public doit l'être.