Alessio aime écrire sur les téléphones portables, les applications et autres technologies et sur la manière dont ils peuvent faciliter la vie quotidienne.
La vie en ligne des gens est régie par des comptes. Chaque service en ligne, de l’e-mail à la banque en ligne, est basé sur un nom d’utilisateur, un mot de passe et l’espace privé affiché après la connexion.
Il peut y avoir des comptes plus sensibles et importants comme ceux liés à la gestion de l’argent et à l’épargne et d’autres moins importants, comme les comptes de jeux en ligne, mais la façon la plus correcte d’aborder la vie en ligne est de considérer tous les profils en ligne avec la même pertinence, surtout lorsqu’il vient à les protéger contre les pirates.
Chaque compte en ligne compte
Faire face à des violations de sécurité contre un compte bancaire a des conséquences différentes par rapport à celles liées à une violation d’un compte de jeu ou de streaming de films en ligne. Pourtant, la meilleure façon de rester en sécurité lorsque vous utilisez Internet est de commencer à traiter les comptes comme s’ils étaient tous critiques et dignes du même niveau de sécurité.
Faire face à une attaque de pirate informatique contre un compte personnel peut avoir des conséquences pratiques qui deviennent plus critiques lorsqu’il s’agit d’argent, ainsi que psychologiques. En fin de compte, un compte en ligne est comme une maison numérique où les gens ont tendance à garder toutes les choses qui peuvent avoir une certaine importance pour eux. Il peut s’agir de leur argent, de leurs e-mails ou de leurs photos ; pourtant, il y a un élément commun à toutes les violations commises contre les comptes, indépendamment de leur importance pour la vie de quelqu’un : ils constituent une intrusion dans quelque chose que les gens possèdent.
Si l’on veut relier cela à quelque chose en dehors d’Internet, une violation contre un compte bancaire revient à faire entrer un voleur dans la maison de quelqu’un et à vider le coffre caché à l’intérieur, tandis que la même violation contre un compte de jeu peut être comparée au voleur qui réussit à accéder à la cave et voler des biens qui n’ont pas beaucoup de valeur monétaire pertinente. Pourtant, il s’agit d’une violation de la propriété privée et, plus précisément, d’une intrusion dans la vie privée de quelqu’un.
Si l’internaute généraliste avait l’habitude d’adopter la même façon de penser lorsqu’il s’agissait également de sa vie numérique – sans aboutir à une catégorisation banale des comptes dans lesquels la banque a besoin d’une sécurité de niveau militaire tandis que les archives cloud contenant des photos des chats peuvent être facilement protégées avec juste « 1234 » comme mot de passe – peut-être y aurait-il une bien meilleure culture de la sécurité en ligne.
Enfin, il existe des règles universelles lorsqu’il s’agit de protéger un compte contre les pirates, donc les appliquer toutes à chaque identité en ligne sans faire de catégorisations est sûrement la meilleure façon de se comporter de manière responsable lorsqu’il s’agit de gérer des comptes en ligne.
L’authentification multifacteur est sûre mais pas encore si courante
L’authentification multifacteur garantit la meilleure sécurité car elle ajoute une troisième couche de validation non basée sur des informations d’identification déjà connues mais sur quelque chose de généré sur le moment. Il peut s’agir d’un code OTP temporaire envoyé par SMS ou généré via une application d’authentification ou d’une autorisation fournie via un jeton physique ou une application installée sur un appareil.
Le tableau suivant montre comment l’authentification multifacteur peut jouer un rôle crucial dans la sécurité en ligne.
Le principal problème de l’authentification multifacteur est que, malgré sa pertinence pour la sécurité en ligne, ce n’est toujours pas une option activée par tous les fournisseurs de services en ligne. Quand on pense à ce troisième passage d’authentification, les premiers sites qui viennent à l’esprit sont ceux des entreprises en ligne les plus influentes comme Google, Facebook, Twitter, Microsoft et Apple.
De plus, les services bancaires en ligne permettent à l’utilisateur d’ajouter un troisième facteur d’authentification, la plupart du temps en l’appliquant comme choix par défaut. L’utilisateur doit réfléchir à l’importance de cette couche de sécurité supplémentaire pour chaque identité en ligne sans la reléguer uniquement aux comptes bancaires. Le plus gros problème de l’authentification multifacteur reste son manque de popularité auprès des fournisseurs de services en ligne. Alors qu’un compte Google ou Facebook peut être facilement protégé avec une authentification multi-facteurs, les petites boutiques en ligne, les plateformes de jeux en ligne et d’autres services gérés par des petites et moyennes entreprises n’offrent pas toujours cette troisième couche de sécurité.
Faites défiler pour continuer
C’est pourquoi il faut l’activer chaque fois qu’il est disponible, mais ne jamais le considérer comme s’il s’agissait de la seule mesure de sécurité à prendre, car tous les services en ligne ne le prennent pas en charge. L’utilisation de mots de passe forts et uniques sur différents sites Web est le conseil de sécurité le plus élémentaire que presque tout le monde reçoit lorsqu’on lui apprend comment renforcer ses comptes contre les pirates. Pourtant, il y a beaucoup plus pour assurer votre sécurité en ligne, avec ou sans authentification multifacteur.
1. Comment gérer les mots de passe
L’utilisation de mots de passe forts et uniques pour chaque compte est la première étape pour améliorer la sécurité en ligne mais, parfois, on ne pense pas au besoin fondamental pour que cette stratégie fonctionne : assurer également un stockage sûr des différentes informations d’identification que nous allons gérer.
Les stocker dans un gestionnaire de mots de passe chiffrés est une bonne idée mais aussi le gestionnaire de mots de passe d’un navigateur synchronisé avec un compte Google, Microsoft, Apple ou Firefox peut être une bonne alternative, même si cette solution est moins sûre que d’avoir un logiciel spécifique avec chiffrement inclus. Tout dépend des appareils avec lesquels on synchronise ses mots de passe, de la fréquence à laquelle ils sont mis à jour, du nombre d’utilisateurs auxquels ils ont accès, de la sécurité du compte utilisé pour la synchronisation des mots de passe.
Bien sûr, la synchronisation des mots de passe avec un compte Google ou Microsoft protégé par une authentification multi-facteurs et uniquement sur des appareils mobiles sans jailbreak et renforcé avec un code PIN fort a sûrement des impacts de sécurité différents par rapport à faire la même chose avec un compte non protégé par multi- facteur d’authentification et en se synchronisant avec un PC exécutant un ancien système d’exploitation et peut également être utilisé par d’autres personnes. Même un papier stocké dans un coffre-fort (ou même dans un coffre-fort bancaire) peut y parvenir : c’est à l’utilisateur de décider comment gérer ses mots de passe et comment concilier facilité d’accès à ses identifiants et sécurité renforcée.
Un gestionnaire de mots de passe est comme un coffre-fort où stocker les identifiants de connexion en toute sécurité.
2. Utiliser des adresses e-mail personnalisées
Les adresses e-mail personnalisées liées à un nom de domaine enregistré sont souvent associées à une valeur ajoutée à l’identité en ligne des entreprises. Avoir un nom de domaine personnel peut également fonctionner pour les individus qui établissent leur identité en ligne, même s’ils n’ont pas de site Web (un nom de domaine peut être facilement associé même à un profil de réseau social). À un petit prix annuel, un nom de domaine peut être d’une grande valeur. Pourtant, peu de gens peuvent imaginer qu’il peut également jouer un grand rôle dans la protection des comptes contre les pirates.
Pour mieux comprendre, imaginons un utilisateur qui gère la majeure partie de sa vie en ligne autour de l’écosystème Google. Il a un compte Gmail et stocke des documents sur Google Drive et des photos sur Google Photos. Il peut décider d’enregistrer un nom de domaine via le service Google Domains, qui est déjà lié à son compte Google. Ensuite, il peut créer des alias de messagerie pouvant se connecter à son compte Gmail principal, de sorte que chaque e-mail envoyé aux alias lui soit transféré.
Avoir la possibilité de créer des alias avec un nom de domaine personnel signifie disposer d’un outil puissant qui renforce définitivement la sécurité des comptes en ligne : des adresses e-mail uniques en plus des mots de passe. Cela signifie que la même adresse e-mail peut être utilisée comme s’il s’agissait d’un mot de passe secondaire, en générant des alias longs et aléatoires qui se terminent par le nom de domaine.
Le tableau suivant peut être un exemple de ce à quoi peut ressembler la liste des gestionnaires de mots de passe d’une personne utilisant cette technique de sécurité.
3. Restez en sécurité lorsque vous surfez sur Internet
Ce dernier conseil se termine par les recommandations banales que presque tout le monde connaît. Pourtant, il est inutile de définir des adresses e-mail et des mots de passe uniques si l’on tombe dans le premier e-mail de phishing qu’ils reçoivent, ne met pas à jour leur logiciel antivirus et surfe sur des sites Web suspects.
Considérant que l’ingénierie sociale et les attaques de phishing fonctionnent toujours bien malgré les diverses idées « ça ne m’arrivera jamais » que beaucoup de gens peuvent avoir, il faut aussi penser aux premières règles de sécurité de base avant d’appliquer les plus avancées, comme générer des alias de messagerie pour chaque compte et en appliquant l’authentification multifacteur chaque fois qu’elle est disponible.
Ce n’est qu’en combinant des règles de sécurité de base et avancées que l’on peut atteindre quelque chose qui peut être considéré comme le plus haut niveau de sécurité auquel on peut aspirer.
Cet article est exact et fidèle au meilleur de la connaissance de l’auteur. Le contenu est uniquement à des fins d’information ou de divertissement et ne remplace pas un conseil personnel ou un conseil professionnel en matière commerciale, financière, juridique ou technique.
© 2022 Alessio Ganci
