Les professionnels de la sécurité adorent leur aura de mystère. Ils parlent en acronymes, citent des vulnérabilités obscures et font tout passer pour un sujet nécessitant un doctorat pour protéger votre email. C'est la sécurité de l'emploi par la complexité. Mais voici ce qu'ils ne vous disent pas : la majorité de ce qui vous protège est d'une simplicité embarrassante.
Votre service informatique ne vous protège pas contre des hackers d'élite soutenus par des États. Il vous protège de vous-même. De la réutilisation des mots de passe. Des clics sur les liens dans les emails. Du fait de laisser votre ordinateur portable déverrouillé dans les cafés. La grande majorité des violations ne sont pas des prouesses techniques ; ce sont des crimes d'opportunité contre des gens qui n'ont pas fait le minimum.
Coupons court au mystère. Voici tout ce que vous devez réellement savoir, expliqué sans jargon, avec des étapes pratiques que vous pouvez mettre en place aujourd'hui.
Le sale secret du « piratage »
Chaque fois qu'une grande violation fait l'actualité, les médias font croire que des ninjas numériques ont pénétré des défenses impénétrables. En général, la réalité est bien plus bête. Quelqu'un a utilisé « Password123 » et ce mot de passe avait déjà fuité trois ans plus tôt. Quelqu'un a cliqué sur un lien dans un email du « Support IT » qui venait en fait de « [email protected] ». La sonnette connectée de quelqu'un avait le mot de passe par défaut « admin » et était connectée au même réseau que son ordinateur professionnel.
Le rapport Verizon sur les investigations de violations de données montre systématiquement qu'environ 80 % des violations liées au piratage impliquent des identifiants volés ou faibles. Pas des exploits zero-day. Pas de malwares sophistiqués. Des mots de passe.
Password123 n'est pas malin. P@ssw0rd123 non plus. Et avant de faire preuve de créativité : qwerty, 123456 et le nom de votre chien suivi de votre année de naissance figurent tous sur la liste que les attaquants vérifient en premier.
C'est en fait une bonne nouvelle. Cela signifie que vous n'avez pas besoin d'outils de sécurité coûteux ni d'un diplôme en informatique pour améliorer considérablement votre protection. Vous devez simplement arrêter de faire des bêtises.
Votre système de mots de passe est cassé (Mais réparable)
Abordons le sujet qui fâche. Vous avez probablement un « système » pour vos mots de passe. Peut-être un mot de passe de base avec des variations, comme « MotDePasse1! » pour l'email et « MotDePasse2! » pour la banque. Peut-être que vous avez mémorisé un très bon mot de passe et que vous l'utilisez partout. Ces deux approches sont catastrophiques.
Voici pourquoi : quand une entreprise subit une violation (et ça arrivera, car ce n'est pas une question de si mais de quand), votre mot de passe se retrouve dans une base de données vendue sur le dark web. Les attaquants essaient ensuite ce mot de passe sur tous les autres services. Si votre « très bon mot de passe » protège à la fois votre compte de forum et votre banque, félicitations, la mauvaise sécurité du forum vient de compromettre votre banque.
La vraie solution : Les gestionnaires de mots de passe
Un gestionnaire de mots de passe génère des mots de passe uniques et aléatoires pour chaque compte et les retient pour vous. Vous n'avez besoin de mémoriser qu'un seul mot de passe maître (faites-en une phrase de passe longue, car « cheval correct batterie agrafe » est notoirement plus sécurisé que « Tr0ub4dor&3 »).
Bons gestionnaires de mots de passe
- 1Password : Meilleure expérience globale, excellents forfaits familiaux
- Bitwarden : Open source, niveau gratuit disponible, excellente sécurité
- Trousseau Apple : Déjà sur votre iPhone/Mac, suffisant pour la plupart des gens
« Et si le gestionnaire de mots de passe se fait pirater ? » Bonne question. Vos mots de passe sont chiffrés avec votre mot de passe maître avant même de quitter votre appareil. Même si les attaquants volent le coffre-fort chiffré, ils ne peuvent pas le lire sans votre mot de passe maître. C'est infiniment plus sûr que de réutiliser des mots de passe sur plusieurs sites.
Vérifiez si vous êtes déjà compromis
Allez sur haveibeenpwned.com tout de suite. Tapez votre adresse email. Ce site, géré par le chercheur en sécurité Troy Hunt, vérifie si votre email apparaît dans des violations de données connues. Si c'est le cas (et pour la plupart des gens, c'est le cas), vous saurez quels mots de passe changer immédiatement.
Votre navigateur vous dénonce
Même si vous ne cliquez jamais sur un lien suspect, votre navigateur communique constamment aux sites web plus d'informations sur vous que vous ne le réalisez. Parlons de ce qui se passe et de ce que vous pouvez réellement y faire.
L'empreinte numérique du navigateur
Les cookies attirent toute l'attention, mais ils ne sont pas le seul moyen par lequel vous êtes pisté. L'empreinte numérique du navigateur collecte des détails sur votre système (résolution d'écran, polices installées, plugins du navigateur, fuseau horaire, paramètres de langue) et les combine en un identifiant unique. Même sans cookies, les sites web peuvent souvent vous identifier avec plus de 90 % de précision.
La solution n'est pas parfaite, mais utiliser Firefox avec sa Protection renforcée contre le pistage, ou le navigateur Brave (qui bloque l'empreinte par défaut), réduit considérablement le problème. Chrome est le pire pour la confidentialité. Google gagne de l'argent grâce à la publicité, donc leur navigateur est conçu pour faciliter le pistage, pas pour le prévenir.
Votre FAI voit tout
Chaque site web que vous visitez commence par une requête DNS, votre ordinateur demandant « quelle est l'adresse IP de google.com ? » Par défaut, ces requêtes vont à votre fournisseur d'accès internet, ce qui signifie qu'il dispose d'un journal de chaque site que vous avez visité. Il peut (et le fait) vendre ces données.
Activez DNS over HTTPS
Cela chiffre vos requêtes DNS pour que votre FAI ne puisse pas espionner. Ça prend 2 minutes :
- Firefox : Paramètres → Vie privée et sécurité → Activer DNS over HTTPS → Sélectionner Cloudflare
- Chrome : Paramètres → Confidentialité et sécurité → Sécurité → Utiliser un DNS sécurisé → Sélectionner un fournisseur
- À l'échelle du réseau : Changez le DNS de votre routeur pour 1.1.1.1 (Cloudflare) ou 9.9.9.9 (Quad9)
Vos extensions sont probablement des logiciels espions
Cette extension qui trouve des coupons ? Elle lit chaque page que vous visitez. Cette barre d'outils « utile » ? Pareil. Les extensions de navigateur ont un accès énorme à vos données de navigation, et le modèle économique des extensions gratuites est souvent la vente de ces données.
Allez sur la page des extensions de votre navigateur maintenant. Pour chaque extension, demandez-vous : Est-ce que je l'utilise vraiment ? Est-ce que je fais confiance à l'entreprise qui l'a créée ? Supprimez tout ce dont vous n'avez pas besoin. Pour celles que vous gardez, vérifiez leurs permissions et désactivez tout ce qui semble excessif.
Le mode navigation privée ne fait pas ce que vous croyez
Le mode navigation privée cache votre historique à votre conjoint, pas à Google.
Les modes de navigation privée ne vous rendent pas anonyme. Ils ne sauvegardent tout simplement pas votre historique localement. Votre FAI, votre employeur (si vous êtes sur son réseau) et les sites web que vous visitez peuvent toujours tout voir. C'est utile pour vous connecter à des comptes sur des ordinateurs partagés ou faire des achats surprise, pas pour la vraie confidentialité.
La question du VPN
Les VPN sont utiles dans des situations spécifiques : sur le WiFi public, quand vous voulez apparaître dans un autre pays, ou quand vous ne faites pas confiance à votre FAI. Mais ce ne sont pas des boucliers magiques de confidentialité. Utiliser un VPN signifie simplement faire confiance à l'entreprise VPN au lieu de votre FAI. Beaucoup de VPN « gratuits » sont pires que pas de VPN du tout, car ils existent pour récolter et vendre vos données.
Si vous voulez un VPN, payez pour un service réputé (Mullvad, ProtonVPN ou IVPN sont de bonnes options). Mais ne croyez pas que ça vous rend invisible. Votre empreinte de navigateur, vos habitudes de connexion et votre comportement vous identifient toujours.
Votre téléphone en sait trop
Votre téléphone est l'appareil de surveillance le plus intime jamais créé. Il sait où vous dormez, à qui vous parlez, ce que vous achetez et où vous allez tout au long de la journée. Voici comment récupérer un peu de confidentialité.
Les permissions des applications sont hors de contrôle
Pourquoi une application lampe torche a-t-elle besoin d'accéder à vos contacts ? Pourquoi une calculatrice a-t-elle besoin de votre localisation ? Ces permissions existent parce que les données ont de la valeur, et la plupart des gens appuient simplement sur « Autoriser » sans réfléchir.
Audit des permissions (5 minutes)
- iPhone : Réglages → Confidentialité et sécurité → Passer en revue chaque catégorie
- Android : Paramètres → Confidentialité → Gestionnaire de permissions → Vérifier chaque type
- Pour la localisation : la plupart des applications devraient être sur « Jamais » ou « Pendant l'utilisation ». Très peu ont besoin de « Toujours ».
- Pour la caméra/le micro : Refuser sauf si l'application en a manifestement besoin
Désactivez le suivi publicitaire
iOS et Android ont tous deux des paramètres qui limitent le degré de suivi publicitaire des applications. Ce ne sont pas des solutions miracles, mais ça aide.
iPhone : Réglages → Confidentialité et sécurité → Suivi → Désactiver « Autoriser les demandes de suivi des apps »
Android : Paramètres → Confidentialité → Publicités → Supprimer l'identifiant publicitaire (ou refuser la personnalisation)
Vérifiez votre historique de localisation
Vous voulez avoir des frissons ? Google et Apple enregistrent votre localisation depuis des années. Allez voir ce qu'ils ont sur vous :
Google : Visitez timeline.google.com. Vous verrez partout où vous êtes allé avec votre téléphone Android ou en étant connecté à Google.
Apple : Réglages → Confidentialité et sécurité → Service de localisation → Services système → Lieux importants. C'est plus difficile d'accès mais tout aussi détaillé.
Vous pouvez supprimer cet historique et désactiver le suivi futur. Le faire ou non, c'est votre choix. Certaines personnes trouvent la chronologie utile pour se rappeler où elles se sont garées ou quel restaurant elles ont aimé. Mais au minimum, sachez que ça existe.
L'email : Toujours le maillon faible
La plupart des prises de contrôle de comptes commencent par l'email. Contrôlez l'email de quelqu'un, et vous pouvez réinitialiser les mots de passe de tout le reste. Le phishing est d'une efficacité embarrassante parce qu'il exploite la psychologie humaine, pas les vulnérabilités techniques.
Comment vraiment repérer le phishing
Les emails du « prince nigérian » sont évidents. Le phishing moderne ne l'est pas. Vous recevrez des emails qui ressemblent exactement à ceux de votre banque, logos et mise en page soignée inclus. Voici ce qu'il faut vérifier :
- L'adresse de l'expéditeur : « [email protected] » est différent de « [email protected] » ou « [email protected] »
- Survolez les liens : Avant de cliquer, survolez pour voir l'URL réelle. Si elle ne mène pas où vous l'attendez, ne cliquez pas
- L'urgence est un signal d'alarme : « Votre compte sera clôturé dans 24 heures ! » est conçu pour vous faire paniquer et sauter la vérification
- Dans le doute, allez-y directement : Ne cliquez pas sur les liens dans les emails. Ouvrez un nouvel onglet et allez sur le site directement
Les alias d'email : Compartimentez votre boîte de réception
Utilisez des adresses email différentes pour des usages différents. Votre email bancaire ne devrait pas être le même que celui que vous utilisez pour vous inscrire à des newsletters aléatoires. Quand un service est compromis, vous saurez exactement quel email a été exposé, et ça n'affectera pas vos comptes importants.
Services d'alias email
- SimpleLogin : Créez des alias illimités qui redirigent vers votre vrai email
- Firefox Relay : La version de Mozilla, intégrée à Firefox
- Apple Masquer mon e-mail : Intégré à iCloud+, fonctionne parfaitement sur les appareils Apple
- Adressage plus : Gmail vous permet d'ajouter « +nimportequoi » avant le @. [email protected] arrive dans votre boîte normale
Pour les communications sensibles : L'email chiffré
L'email classique est comme une carte postale : quiconque le manipule peut le lire. Pour les communications véritablement sensibles, envisagez Proton Mail. Il est chiffré de bout en bout, basé en Suisse (lois strictes sur la vie privée) et dispose d'un niveau gratuit parfaitement utilisable.
L'ingénierie sociale : Le DM charmeur qui vole vos comptes
En voici un dont on ne parle pas assez : cet inconnu séduisant qui vous écrit en DM sur Instagram, Snapchat ou Tinder ? Il utilise peut-être un scénario plus vieux qu'internet lui-même.
Pensez aux questions de « connaissance mutuelle » que les gens posent quand ils flirtent :
- « Comment s'appelle ton animal ? J'adore les animaux ! »
- « Tu as grandi où ? »
- « C'était quoi ta première voiture ? Je parie qu'il y a une bonne histoire. »
- « Tu habitais dans quelle rue quand tu étais petit ? »
- « C'est quoi le nom de jeune fille de ta mère ? Le mien est tellement bizarre. »
- « Tu étais dans quel lycée ? »
Maintenant regardez les questions de sécurité pour la récupération de mot de passe de votre banque, votre email et vos réseaux sociaux. Vous remarquez quelque chose ?
Ces questions charmantes sont littéralement les réponses à vos questions de sécurité. Quelqu'un qui « apprend à vous connaître » récolte les clés de votre vie numérique.
Ce n'est pas de la paranoïa. C'est une technique d'ingénierie sociale documentée. Les escrocs créent de faux profils, construisent une relation de confiance sur des jours ou des semaines, et extraient nonchalamment chaque information nécessaire pour réinitialiser vos mots de passe. Au moment où ils disparaissent, ils vous ont déjà verrouillé hors de vos propres comptes.
Comment vous protéger
- Mentez sur les questions de sécurité. Le nom de jeune fille de votre mère n'a pas besoin d'être son vrai nom. Choisissez quelque chose d'aléatoire et stockez-le dans votre gestionnaire de mots de passe. « Quel était votre premier animal ? » Réponse : « TurboLaser3000 ». Bonne chance pour deviner ça.
- Méfiez-vous de l'intimité rapide. Les vraies connexions prennent du temps. Quelqu'un qui pose beaucoup de questions personnelles dès les premières conversations, surtout des questions spécifiques, n'est peut-être pas celui qu'il prétend être.
- Recherche d'image inversée. Faites un clic droit sur leur photo de profil, cherchez sur Google Images. Si ce visage apparaît sur des sites de photos stock ou appartient à quelqu'un d'autre, vous avez votre réponse.
- Appel vidéo avant de partager. Les escrocs évitent la vidéo. Si quelqu'un a des excuses infinies pour expliquer pourquoi il ne peut pas faire d'appel vidéo, c'est un signal d'alarme.
Le scénario de l'arnaque sentimentale
Ça commence avec des questions pour « apprendre à se connaître ». Puis ils ont besoin d'un petit service : des cartes cadeaux, de la crypto, de l'argent pour une urgence. La récolte d'informations personnelles et l'arnaque financière fonctionnent souvent de pair. Si vous avez partagé vos réponses de sécurité avec quelqu'un que vous n'avez jamais rencontré en personne, changez ces réponses maintenant.
Votre réseau domestique (Oui, vraiment)
Si le mot de passe de votre routeur est toujours « admin », félicitations, vous avez déroulé le tapis rouge pour quiconque veut rejoindre votre réseau. La plupart des gens configurent leur routeur une fois et n'y pensent plus jamais. C'est une erreur.
Changez le mot de passe par défaut
Chaque routeur est livré avec un nom d'utilisateur et un mot de passe par défaut (souvent « admin/admin » ou « admin/password »). Ces identifiants par défaut sont publiés en ligne. Quiconque peut se connecter à votre WiFi peut accéder au panneau d'administration de votre routeur et faire ce qu'il veut : rediriger votre trafic, espionner vos appareils, utiliser votre connexion pour des activités illégales.
Connectez-vous à votre routeur (généralement 192.168.1.1 ou 192.168.0.1 dans votre navigateur) et changez à la fois le mot de passe admin et le mot de passe WiFi pour quelque chose de solide.
Mettez à jour le firmware de votre routeur
Personne ne le fait. Votre routeur est un ordinateur qui exécute un logiciel, et ce logiciel a des bugs. Les fabricants publient des mises à jour pour corriger les vulnérabilités de sécurité. Vérifiez le panneau d'administration de votre routeur pour une option de mise à jour du firmware et lancez-la.
Créez un réseau invité pour les objets connectés
Votre smart TV, votre sonnette connectée et votre réfrigérateur intelligent sont tous des points d'entrée potentiels pour les attaquants. Ces appareils ont souvent une sécurité déplorable et sont rarement mis à jour. Mettez-les sur un réseau invité séparé pour que, s'ils sont compromis, les attaquants ne puissent pas facilement passer à votre ordinateur ou votre téléphone.
La plupart des routeurs modernes ont une option « Réseau invité ». Activez-la, donnez-lui un mot de passe différent et connectez-y tous vos gadgets connectés.
Le bon état d'esprit
La sécurité parfaite n'existe pas. L'objectif n'est pas d'être inviolable ; c'est de ne pas être la cible la plus facile. Les attaquants, comme les cambrioleurs, visent les victoires faciles. Si votre maison a une porte verrouillée et celle de votre voisin est grande ouverte, devinez laquelle se fait cambrioler ?
Partez du principe que vous serez compromis
Chaque entreprise à laquelle vous confiez vos données sera un jour piratée. Planifiez en conséquence. Utilisez des mots de passe uniques pour qu'une violation ne fasse pas boule de neige. Utilisez des cartes bancaires (qui ont une protection contre la fraude) plutôt que des cartes de débit pour les achats en ligne. Gardez les informations sensibles hors des services cloud quand c'est possible.
Compartimentez
N'utilisez pas le même email pour la banque et les forums. Ne liez pas tous vos comptes entre eux pour la « commodité ». Chaque connexion que vous créez est un chemin potentiel pour les attaquants pour passer d'un compte à un autre.
Gelez votre crédit
Ce conseil vaut particulièrement pour ceux qui ont des comptes auprès de services financiers en ligne. Vérifiez auprès de votre banque les options de verrouillage préventif : opposition sur carte, alertes de connexion, double validation pour les virements. En France, contactez la Banque de France pour un droit au compte ou un signalement de fraude si nécessaire.
Audits réguliers
Programmez un rappel trimestriel pour passer en revue vos comptes. Quels services utilisez-vous encore ? Lesquels ont accès à vos données ? Lesquels pouvez-vous supprimer ? Moins vous avez de surface d'attaque, plus vous êtes en sécurité.
Le verdict
Rien de tout cela n'est compliqué. Utilisez un gestionnaire de mots de passe. Activez l'authentification à deux facteurs (j'ai écrit sur les clés de sécurité matérielles si vous voulez aller plus loin). Ne cliquez pas sur les liens dans les emails. Mettez à jour vos logiciels. Vérifiez vos permissions.
Ces bases vous placeront devant 90 % des gens en ligne. Les 10 % restants de réduction du risque demandent un effort exponentiellement plus grand, et pour la plupart des gens, les bases suffisent largement.
La sécurité n'est pas un produit que vous achetez ni une configuration ponctuelle. Ce sont des habitudes. Mais ces habitudes ne sont pas difficiles. Elles nécessitent simplement d'être mises en pratique.
Votre service informatique n'est pas composé de sorciers. Ils font juste des recherches Google plus vite que vous. Maintenant, vous savez ce qu'ils savent. Utilisez-le.
