Achats en ligne, paiements sans contact, wifi public… Les conseils d’un expert en sécurité informatique
%22%20xlink%3Ahref%3D%22data%3Aimage%2Fjpeg%3Bcharset%3Dutf-8%3Bbase64%2C%2F9j%2F2wBDACgcHiMeGSgjISMtKygwPGRBPDc3PHtYXUlkkYCZlo%2BAjIqgtObDoKrarYqMyP%2FL2u71%2F%2F%2F%2Fm8H%2F%2F%2F%2F6%2F%2Bb9%2F%2Fj%2F2wBDASstLTw1PHZBQXb4pYyl%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj4%2BPj%2FwAARCAAXACoDASIAAhEBAxEB%2F8QAGAAAAwEBAAAAAAAAAAAAAAAAAAECAwT%2FxAAfEAACAgIDAAMAAAAAAAAAAAAAAQIDESESQVETMUL%2FxAAYAQEAAwEAAAAAAAAAAAAAAAABAAIEA%2F%2FEAB4RAAMAAQQDAAAAAAAAAAAAAAABAhEDBBIxEyJR%2F9oADAMBAAIRAxEAPwCANK6%2BalvaWTPml0xbSMsaN2syhSfFZxklWx%2BpafjL%2BRP8s5blOyblgOR3nbPHsjqAcaZV0wcu0IsZani8DjJxengax2AEIqqemPXhLAAwPkv6Nyk48W9eEgAlW2%2Bz%2F9k%3D%22%20%2F%3E%3C%2Fsvg%3E)
Est-il raisonnable de mémoriser ses codes de carte bleue sur des sites comme eBay ou Amazon ? Payer avec une carte bleue sans contact ou avec un smartphone, est-ce risqué ? Les données déposées sur le "cloud" sont-elles en sécurité ? Quels sont les risques quand on se connecte à un wifi public ?
Sébastien Dupont est expert en sécurité numérique, il travaille pour des entreprises du CAC40 afin de protéger leurs données. Selon lui, "il y a un minimum de sensibilisation qu'on devrait avoir quand on a un téléphone ou un ordinateur !" Et à cette fin, il a écrit un guide des bonnes pratiques et prodigué quelques conseils à l'antenne dans Grand bien vous fasse - à retrouver ici_._
Est-il raisonnable de mémoriser ses codes de carte bleue sur des sites comme eBay ou Amazon ?
Cela dépend : préférez-vous le confort ou la sécurité ? Si vous voulez de la rapidité, vous devez accepter le risque qu'il y ait un piégeage sur ce site d'e-commerce et que votre carte bleue puisse être utilisée par des pirates. "Personnellement, estime Sébastien Dupont, je trouve que retaper mon code de CB à chaque fois, ça ne prend pas beaucoup de temps".
Les sites de e-commerce ont dans leurs équipes des personnes compétentes. Mais est-ce parfaitement sécurisé ? Pas sûr : "en 2018, il y a eu 17000 failles de sécurité technologique" souligne-t-il. Et une faille, c'est une porte ouverte pour les pirates.
Sébastien Dupont :
Mon intime conviction, c'est que l'informatique ne pourra jamais être sécurisée entièrement.
"Il faut accepter un risque. Et ce qui nous éclaire sur ce risque, c'est le nombre d'incidents déclarés par ces entreprises, c'est pour ça qu'il faut qu'il y ait de la transparence de leur part - et aujourd'hui elle n'est pas suffisante. Il faut qu'ils nous exposent les problèmes pour qu'on puisse travailler dessus ensemble."
Et la double sécurité avec le code envoyé par votre banque sur votre numéro de téléphone n'est malheureusement pas infaillible non plus…
Le paiement avec une carte bleue sans contact ou avec un smartphone est-il risqué ?
Non. "Vous faites bien de le faire, ça facilite la vie. Il y a quelques risques encore mais grosso modo il n'y a pas de menace".
Quelles sont les principales mesures à prendre pour les achats en ligne ?
En 2018, 90 milliards d'euros étaient dépensés par les Français sur des sites d'e-commerce.
"Le plus gros risque est le fishing (ou hameçonnage en français) : vous recevez un mail de votre banque (soi-disant) ou de votre opérateur, qui vous demande un mot de passe. C'est là qu'il faut être vigilant. Quand vous recevez un message, il faut se dire aujourd'hui que cela peut être un faux (hoax), donc il faut prendre des chemins de confiance" : aller sur votre site bancaire par le chemin principal (le site officiel, etc) ; ne cliquez pas sur un lien dans un mail.
Et si vous venez de vous faire piéger, appelez au plus vite le numéro de téléphone interbancaire pour faire opposition, ouvert 7j/7, 24h/24 : 0892 705 705
Les données déposées sur le cloud sont-elles en sécurité ?
Oui. Sébastien Dupont : "de mon point de vue, il ne faut pas hésiter à l'utiliser parce que ce sont les systèmes les plus sécurisés qui existent pour tout un chacun. On ne va pas s'interdire d'utiliser des services aussi peu chers et aussi faciles à utiliser. Le seul bémol, c'est qu'il faut penser à faire des sauvegardes".
Quels sont les risques quand on se connecte à un wifi public (aéroport, hôtel…) ?
"Vous risquez de ne pas être connecté au site officiel de l'hôtel / aéroport et d'être sur un site pirate. Dans ce cas, le pirate peut récupérer toutes vos données… C'est à éviter, surtout si vous avez la possibilité d'utiliser la 4G (par exemple quand vous êtes en France). À l'étranger, parfois, vous n'avez pas le choix... là, vous êtes en prise de risque".
Comment faire pour ne pas avoir son identité usurpée sur internet ?
"Il faut éviter au maximum de transmettre des données identitaires (passeport ou carte d'identité) par Internet. Si vous êtes obligé de le faire, à des personnes de confiance, faites une photocopie de mauvaise qualité, barrée au stylo et sur laquelle vous indiquez que vous l'avez transmis à telle date, à telle personne de telle banque, pour tel usage. Si quelqu'un la capte il ne pourra pas la réutiliser".
Comment stocker ses mots de passe ?
C'est une problématique qu'on rencontre tous à un moment donné : mémoriser nos mots de passe. D'autant qu'il faut en plus avoir des mots de passe différents pour chaque site (si la base de données de ce site se fait pirater, les pirates vont essayer vos accès login / mot de passe partout avec un script informatique…)
📖 LIRE | Les conseils du lanceur d'alerte Edward Snowden sur la construction d'un "bon" mot de passe.
Aujourd'hui, nous avons tous en moyenne une douzaine de mots de passe. Comment faire pour les mémoriser tous ?
Sébastien Dupont préconise trois solutions, selon votre maturité avec l'outil informatique :
- pour les concrets : une liste de mots de passe cachée dans le placard.
- pour les plus avertis : avoir un logiciel de sécurité qui va jouer le rôle de liste, qui vont enregistrer vos mots de passe.
- pour les autres : utiliser un mot de passe facile à deviner. Un pass phrase.
Comment construit-on un pass-phrase ? Voici le conseil de Sébastien Dupont : penser à une phrase facile à retenir pour vous. Par exemple, je sais que "j'ai faim quatre fois par jour". Synthétisé, ça fait « Gfaim4x/j » : 9 caractères que je suis sûr de ne pas oublier. La faille dans ce mot de passe, c'est qu'il y a un mot du dictionnaire [donc facile à deviner avec un script informatique par un pirate]. Donc là, le mot « faim », il faut que je fasse une faute d'orthographe, je vais enlever le « i ». Problème, en anglais « fam » veut dire quelque chose. J'enlève le « a » aussi. Et là c'est bon, c'est un mot de passe robuste parce qu'il a majuscule, minuscule, chiffre et symbole (il faut au moins trois éléments parmi ces quatre-là pour avoir un mot de passe assez sécurisé).
Aller plus loin
🎧 ECOUTER | Les dangers d’internet. Autours d'Ali Rebeihi pour parler d'arnaques et de cybersécurité : Sébastien Dupont et Pascal Tonnerre. Ecoutez l'entretien complet.
📖 LIRE | Vous êtes fous d’aller sur internet. Un guide pratique écrit par Sébastien Dupont pour surfer avec plus de sécurité.
💡 Un site incontournable, à garder en mémoire : Have I been pawned. Rentrez ici votre (vos) adresse mail et vous saurez si l'un des sites auxquels vous vous êtes connecté a subi une faille de sécurité importante… et s'il faut changer de mot de passe de toute urgence (service gratuit)
Références