Mots de passe, sauvegardes, signalements… 5 conseils pour faire face aux cyberattaques
Changer régulièrement ses mots de passe, sauvegarder ses données, effectuer les signalements appropriés en ligne… Des experts en cybersécurité livrent leurs conseils de « bonnes pratiques » pour se protéger contre les attaques.
« C’est la plus grosse fuite d’un acteur de la tech (…) en termes d’impact sur une société. » Voilà comment le vidéaste et ingénieur Defend Intelligence résumait il y a quelques jours la gigantesque fuite de données issues de la plateforme Twitch, publiée le 6 octobre dernier sur le réseau social 4Chan. Si les motivations derrière cette opération de grande ampleur restent incertaines à l’heure où nous écrivons ces lignes, force est de constater qu’elle n’est que la dernière d’une longue série de cyberattaques ayant touché, de près ou de loin, le grand public. En l’occurrence, aucun mot de passe ni aucune donnée bancaire n’aurait été directement compromis, mais l’incertitude a poussé de nombreux spécialistes du numérique à inciter les internautes à changer leur mot de passe. Ne serait-ce que par « précaution » et « anticipation », le pirate ayant notamment promis une future « seconde vague » de données compromises.
Réseaux sociaux, boîtes mails, fichiers personnels… Au-delà du cas Twitch, depuis quelques années, les risques de compromission semblent se multiplier pour les internautes. Comment s’en prémunir ? Nous avons posé la question à plusieurs experts du secteur, réunis à l’occasion des Assises de la Cybersécurité qui se sont tenues du 13 au 16 octobre derniers à Monaco. Voici leurs conseils.
1. Changer régulièrement ses mots de passe
« Tout d’abord, l’utilisateur peut se rendre sur le site Have I Been Pwned?, sur lequel il pourra savoir dans quelles fuites de données son adresse mail a été retrouvée, qu’il s’agisse de son adresse personnelle ou professionnelle. C’est une première étape de sensibilisation. Ensuite, si on repère son adresse mail, il faut changer son mot de passe sans attendre, parce qu’on ne peut pas savoir si son mot de passe a déjà été divulgué.
De façon plus générale, il convient de changer son mot de passe régulièrement. Dans les entreprises, on conseille de le faire une fois par trimestre. L’idéal pour les utilisateurs serait au moins une fois tous les six mois environ. Du point de vue de la combinaison, on peut conseiller à l’utilisateur de mémoriser une “phrase secrète” : il s’agit de mémoriser une phrase puis de ne retenir que les premières lettres de chaque mot, de façon à obtenir une combinaison plus complexe, si possible de 10 ou 12 caractères minimum.
Pour tous les services en ligne, notre conseil est d’avoir un mot de passe différent à chaque fois, pour éviter les fuites de données multiples. L’idéal est de recourir à un coffre-fort gratuit et en open source comme KeePass, que l’on protège lui-même grâce à un mot de passe robuste. C’est beaucoup plus sûr que de faire stocker son mot de passe à un navigateur, ce qui peut être très dangereux à cause des failles exploitables entre les mises à jour.
Enfin, il faut activer la double authentification [mécanisme d’authentification passant par deux preuves d’identité distinctes, ndlr] partout où c’est possible. C’est particulièrement important pour les messageries électroniques, parce que tous les renouvellements de mots de passe se font par mail – Gmail a d’ailleurs annoncé que cela deviendrait bientôt obligatoire chez eux. Recourir à la méthode multi-facteurs, que ce soit par SMS ou à travers une application comme le font de plus en plus les banques, permet donc de se protéger davantage. »
2. Sauvegarder ses données sur un périphérique ET sur le cloud
« En matière de sauvegarde des données, il y a trois principes à respecter : la confidentialité, l’intégrité et la disponibilité. D’abord, on doit faire en sorte que ses données restent constamment confidentielles : il faut appliquer des mécanismes de chiffrement afin de s’assurer qu’elles restent inaccessibles aux yeux des autres. Ensuite, le principe de l’intégrité doit permettre de s’assurer que la donnée n’est pas altérée ni modifiée. Le stockage des données peut se faire soit sur un périphérique comme un disque dur externe, soit sur le cloud. Le cloud permet de respecter le troisième paramètre, celui de la disponibilité, tout simplement parce que si une donnée est dans le cloud, elle est accessible partout, que ce soit en France ou à l’étranger.
Concrètement, je conseillerais aux gens de sauvegarder leurs données à la fois sur un disque dur externe et sur le cloud. La sauvegarde locale permet une certaine simplicité, mais avoir un “back up” permet de se prémunir à un deuxième niveau et, encore une fois, d’avoir accès à ses données depuis à peu près n’importe où.
Dans le cloud, c’est le service qui assure directement la sécurité. Mais avec un disque dur externe, c’est l’utilisateur lui-même qui doit faire le travail. On peut envisager de mettre en place un mot de passe, voire un deuxième facteur d’authentification, à travers des solutions simples disponibles auprès du grand public. Il existe même des disques durs externes qui assurent un chiffrement automatique.
Enfin, je conseillerais aux utilisateurs de faire la distinction entre leurs différentes données. Certaines données sont plus sensibles que d’autres. Il faut donc se poser la question : si je perds cette donnée, quel impact cela va-t-il avoir sur ma vie ? En fonction de la réponse, on peut envisager plusieurs types de sécurisation plus ou moins graduelles. Généralement, les hackeurs qui cherchent à s’en prendre à vos données se posent ces mêmes questions. »
3. Mettre à jour régulièrement ses applications et ses équipements
« Par définition, les cybercriminels exploitent les vulnérabilités et les failles. Dès qu’une faille est connue, on trouve de façon assez simple sur Internet des kits d’exploitation de ces failles, qui peuvent être liées à des vulnérabilités dans un logiciel, dans un navigateur ou dans un système d’exploitation. On peut se procurer ces kits pour des sommes assez ridicules, ce qui veut dire que les gens qui mènent ce type d’attaques n’ont même pas besoin de compétences particulières. Le spectre de cybercriminels potentiels est donc beaucoup plus large qu’il y a quelques années.
Ne pas faire ses mises à jour, c’est donc s’exposer à l’exploitation de ces failles. Tous les éditeurs sont concernés. Dans au moins 50 % des cas, lorsque l’on vous propose une mise à jour, que ce soit sur ordinateur, sur smartphone ou sur d’autres équipements, c’est pour des raisons de sécurité – pour pallier des vulnérabilités détectées depuis la dernière mise à jour. Personne n’est épargné.
Bien souvent, ces failles existent dès le départ mais elles ne sont pas immédiatement détectées. Elles peuvent se situer au niveau du codage des applications, par exemple si les variables ne sont pas correctement dimensionnées. Dans ce cas, si on entre plus de données que prévu dans un champ de saisie, on crée ce qu’on appelle un “dépassement de tampon” : on déborde du cadre, et les données supplémentaires rentrées dans le champ sont exécutées comme du code. Ce que les assaillants essayent alors de faire, c’est de faire en sorte de créer un morceau de code qui permette de prendre la main sur la machine. D’où la nécessité des mises à jour.
Pour être sûr d’appliquer ces mises à jour le plus rapidement possible, mieux vaut faire les vérifications soi-même. Les systèmes de notification sont très variables selon les éditeurs. Certains utilisent le push, en avertissant l’utilisateur dès qu’une mise à jour est disponible, mais d’autres laissent l’utilisateur aller à la pêche aux informations. C’est donc une bonne habitude à prendre que de regarder si des mises à jour sont disponibles, à raison d’une fois par mois environ. On n’est jamais à l’abri d’une vulnérabilité. »
4. Distinguer usages privés et usages publics
« Le numérique est un univers où l’on rencontre plein de personnes et d’objets que l’on connaît plus ou moins bien. Il y a donc une éducation à la vigilance qui doit être entretenue tout au long de sa vie numérique, un peu comme la conduite en voiture.
Pour être un peu plus précis, je conseillerais aux gens de séparer autant que possible leurs différents usages des outils numériques. On a longtemps considéré qu’il y avait la vie de bureau ou d’usine d’un côté, et la vie familiale et sociale de l’autre. Mais les relations de travail ne sont plus exactement les mêmes qu’avant. Il y a un partage des données entre public et professionnel qui a été renforcé avec l’accroissement du recours au télétravail. Au début du premier confinement, une grande partie du télétravail salarié ne s’est pas fait sur les systèmes de l’entreprise mais sur ceux des personnes propres, générant un double risque.
Il faudrait donc distinguer vie privée et vie professionnelle, à la fois pour des raisons de bien-être et de sécurité. Il peut y avoir des technologies hybrides permettant de mieux segmenter les choses, comme des VPN, des indemnisations pour avoir un téléphone dans le cadre de son activité professionnelle ou des postes de travail virtuels, qui permettent d’avoir une séparation stricte entre le personnel et le professionnel. Mais assurer une étanchéité numérique parfaite entre les deux reste, malheureusement, un peu illusoire. C’est d’autant plus vrai pour les indépendants qui, en tant que prestataires, sont à la fois des individus privés et des entrepreneurs d’eux-mêmes. C’est là où la dimension technique rejoint la dimension sociologique. Un véritable droit à la déconnexion, par exemple, permettrait aux gens d’éviter de devoir répondre à 23h30 à leurs mails, mais aussi de diminuer les risques.
Au-delà de la séparation entre professionnel et personnel, j’insisterais sur la séparation entre les usages privés et les usages publics. Sur Instagram ou Twitter, par exemple, lorsqu’on a son compte en public et que l’on poste régulièrement des stories indiquant où on se trouve, on multiplie le nombre d’informations publiques dont pourront se servir par la suite d’éventuels pirates. Idéalement, il faudrait adopter une approche aussi sobre que possible. »
5. Signaler les attaques (pour en éviter d’autres)
« Le service Cybermalveillance du gouvernement est une plateforme dédiée en ligne, où nous accueillons les victimes, qu’il s’agisse de particuliers ou de professionnels. On pose quelques questions assez simples à l’utilisateur : où se situe le problème ? Depuis quand ? Qui est concerné ? En fonction de ces réponses, on donne des conseils sur le phénomène rencontré, ce qui peut parfois suffire si l’enjeu n’est pas très technique. Ensuite, on redirige l’utilisateur soit vers des associations spécialisées – par exemple l’association e-enfance pour faire retirer des contenus compromettants pour les mineurs en quelques heures – soit vers des prestataires situés à proximité de chez eux. Notre système envoie alors une notification aux prestataires en question, et la victime peut directement savoir vers qui se tourner.
Si on prend l’exemple d’une boîte mail piratée, par exemple, notre site va vous conseiller d’effectuer une réinitialisation du mot de passe, d’activer la double authentification, de prévenir tous les contacts du piratage, ou encore de déposer plainte. Le dépôt de plainte est très important à plusieurs niveaux. D’abord, il permet d’arrêter de banaliser les actes de délinquance en ligne. Quand vous vous faites voler votre porte-monnaie dans la rue, vous allez bien souvent déposer plainte. Or ce n’est que rarement le cas avec les cyberattaques. Certes, les forces de police et de gendarmerie n’ont pas forcément été toutes formées au même niveau et au même moment dans les années passées, mais ce retard est en train d’être rattrapé.
Surtout, ce que les citoyens ne réalisent pas forcément, c’est que s’il n’y a pas de plainte, il n’y a pas de phénomène identifié, et donc pas d’enquête. La force de notre plateforme, c’est justement de faire remonter des phénomènes nouveaux. En 2020, 105 000 victimes ont fait des signalements sur notre plateforme, ce qui nous a été utile pour construire une réponse adaptée. L’année dernière, par exemple, on s’est aperçu que le premier motif d’intervention des prestataires chez les particuliers à travers notre plateforme était les arnaques au faux support technique. On a alors fait remonter ces informations au parquet concerné, qui a décidé de mettre les bouchées doubles. Des enquêtes ont été diligentées, et des cyberattaquants ont pu être arrêtés. Il est donc important de se signaler non seulement pour soi, mais aussi pour les autres. »
