Sept idées reçues en matière de cybersécurité et de protection de sa vie numérique

LA LISTE DE LA MATINALE

Pour éviter de se faire pirater, prévenir les fuites de données, protéger sa vie privée en ligne et plus généralement en matière d’hygiène numérique pour le grand public, les conseils et les tutoriels foisonnent. Certains conseils méritent cependant d’être relativisés, voire purement et simplement écartés, en raison de l’évolution des technologies ou des discours marketing de certains fournisseurs de logiciels. Tour d’horizon.

« Il ne faut surtout pas se connecter aux réseaux Wi-Fi publics »

Il y a dix ans, très peu de sites utilisaient la technologie permettant de protéger les données lors de leur transit sur Internet (qui se traduit notamment par la présence de « HTTPS » dans l’adresse). Toute l’activité d’un internaute sur un site non protégé pouvant être interceptée par quiconque est connecté au même réseau Wi-Fi, les e-mails, les mots de passe ou les coordonnées bancaires étaient particulièrement vulnérables.

Aujourd’hui, le chiffrement des sites s’est banalisé. Plus de 90 % des pages actuellement affichées par les navigateurs Chrome sont en HTTPS. Il est donc en général sans danger d’utiliser des Wi-Fi publics. C’est notamment l’avis de la Federal Trade Commission, l’autorité américaine de protection du consommateur, ou de l’Electronic Frontier Foundation, une ONG américaine de protection des libertés numériques. En septembre, une journaliste du Washington Post a laissé des experts accéder à son réseau Wi-Fi et tenter de récupérer un maximum d’informations sur ce qu’elle y faisait. Le butin était maigre.

Bien sûr, utiliser un réseau Wi-Fi public comporte toujours une part de risque. Un attaquant peut intercepter le peu de données que le protocole HTTPS ne protège pas, exploiter certaines failles sur votre téléphone ou ordinateur ou détourner votre connexion d’un site sécurisé vers un autre qu’il contrôle pour dérober vos données. C’est pour cette raison que certaines autorités continuent de prôner la méfiance.

Mais la quasi-totalité de ces attaques nécessitent pour l’attaquant d’être physiquement présent près de vous et de vous cibler spécifiquement. Elles concernent donc des populations qui ont un profil de risque particulier (journalistes, activistes, cadre en déplacement dans un pays sensible…). On peut cependant recommander d’utiliser un VPN (Virtual Private Network, réseau privé virtuel) pour éliminer les risques résiduels.

« S’il y a un cadenas, le site est fiable »

Les sites qui utilisent le HTTPS sont signalés d’un petit cadenas, qui s’affiche à côté de leurs adresses Web dans la plupart des navigateurs. Or, beaucoup d’utilisateurs ont tendance à penser qu’il signifie que la présence de ce cadenas est l’assurance de naviguer sur un site sérieux et fiable. Ce n’est pas toujours le cas.

De fait, pendant longtemps, il était difficile pour les margoulins numériques de protéger leurs sites par du HTTPS. Mais c’est beaucoup plus facile aujourd’hui : les sites d’arnaques ou d’hameçonnage n’ont aucune difficulté à afficher ce petit cadenas, comme le rappelle le FBI dans un bulletin d’information de 2019.

Ce cadenas est tellement déroutant (des recherches récentes montrent que neuf internautes sur dix ne comprennent pas exactement ce qu’il signifie) que les développeurs du navigateur Chrome ont décidé de l’abandonner prochainement.

« Il faut absolument mettre des caractères spéciaux dans ses mots de passe »

C’est un lieu commun – voire une obligation – de tous les sites ou applications où il faut créer un compte : ajouter dans son mot de passe des caractères spéciaux (points d’exclamation, parenthèses, etc.) pour le rendre plus difficile à casser. C’est marginalement vrai, mais ce n’est pas le meilleur conseil à donner.

Le Monde

Offre spéciale étudiants et enseignants

Accédez à tous nos contenus en illimité à partir de 8,99 euros par mois au lieu de 10,99 euros

S’abonner

En effet, allonger un mot de passe est beaucoup plus efficace pour améliorer sa robustesse. Mieux vaut qu’un mot de passe soit le plus long possible : une phrase par exemple – qui a en outre l’avantage d’être plus facile à se remémorer. Tout l’inverse d’un mot de passe auquel on ajoute des caractères spéciaux.

Lire notre comparateur (article de 2017) Quel gestionnaire de mots de passe est fait pour vous ?

Mais le conseil le plus important en la matière est d’avoir un mot de passe différent pour chaque service : si l’un d’entre eux est compromis, cela évitera que les autres le soient également. Pas facile, voire impossible, de garder en tête tous ces mots de passe longs, parfois complexes et différents les uns des autres : la solution est d’utiliser un gestionnaire de mots de passe, l’équivalent d’un porte-clé numérique. Un outil simple qui a le mérite de rendre votre vie numérique plus sûre et surtout plus pratique.

« Il ne faut pas noter ses mots de passe sur du papier »

Dans bien des cas, noter ses mots de passe dans un petit carnet peut, faute de mieux, être une pratique d’hygiène numérique valable.

Le principal problème des mots de passe, c’est qu’ils peuvent être volés auprès du service en ligne concerné (ou subtilisés à l’utilisateur par du phishing) avant d’être ensuite réutilisés pour compromettre des comptes utilisant le même mot de passe. Comme dit précédemment, il y a une parade principale : avoir des mots de passe différents pour chaque compte en ligne.

Pour ce faire, la solution la plus simple et la plus sûre reste le gestionnaire de mot de passe. Mais un petit carnet n’est rien de moins qu’un gestionnaire de mot de passe en papier. S’il permet à l’utilisateur de disposer de mots de passe longs et uniques à chaque service, il renforce la sécurité. Le carnet a en outre l’avantage d’être une solution facile à mettre en place pour les personnes qui ont des difficultés avec le numérique.

Cette solution pose la question de savoir qui peut avoir accès à ce carnet. Si le risque que des personnes non autorisées et malveillantes puissent y avoir accès, la solution doit être reconsidérée. On peut par exemple penser aux personnes qui vivent avec un conjoint violent ou qui partagent un logement avec de nombreuses personnes.

« Il faut changer ses mots de passe régulièrement »

L’idée derrière ce conseil, souvent répété : faire en sorte qu’un mot de passe ait une date de péremption, pour le rendre, au bout d’un moment, inutilisable pour l’attaquant qui serait parvenu à le subtiliser. Le problème, c’est que changer régulièrement de mot de passe est impossible lorsqu’on dispose de plusieurs dizaines de comptes sur une multitude de services.

Si l’on veut limiter les dégâts d’un mot de passe qui aurait été dérobé, il vaut mieux, en plus d’utiliser un mot de passe unique à chaque service, activer la « double authentification », c’est-à-dire un mécanisme (généralement un code reçu par SMS ou par une application spécifique) qui s’ajoute à celui du mot de passe. De manière générale, activer la double authentification est une pratique de base de l’hygiène numérique.

« Un VPN protège ma vie privée en ligne »

Les fournisseurs de VPN laissent entendre que leurs services permettent de limiter le pistage publicitaire et protègent la vie privée. C’est en grande partie faux. Un VPN remplit deux fonctions : il ajoute une couche de chiffrement sur tous les sites que vous visitez (cela n’est donc utile que pour les 5 % et quelques de sites non protégés par HTTPS) ; il s’interpose entre votre fournisseur d’accès à Internet (FAI) et les sites que vous visitez. Votre FAI ne verra plus les sites que vous visitez (mais le VPN le pourra), et les sites que vous visitez verront l’adresse IP de votre VPN (et non celle que vous attribue votre FAI).

Les gains en matière de protection de la vie privée sont donc marginaux. En particulier parce que le pistage publicitaire ne repose que très peu sur l’adresse IP et bien davantage sur d’autres méthodes, notamment les cookies, des fichiers qui permettent de suivre un internaute d’un site à un autre.

Pour ne prendre que Facebook (ou tout autre réseau social) comme exemple, il n’a que faire de votre adresse IP : si vous êtes connecté à votre compte, même en VPN, il est capable de vous suivre un peu partout sur Internet.

« Il ne faut pas brancher son téléphone n’importe où »

Il y a quelques semaines, les autorités américaines alertaient sur le « juice jacking », cette pratique qui voudrait qu’un téléphone portable puisse être piraté lorsqu’il est branché sur un port USB mis à disposition dans des lieux publics (transports notamment). Un pirate de très bon niveau est en effet capable de dissimuler sur un port en libre accès un programme malveillant sophistiqué se lançant sur votre téléphone lorsque vous le connectez.

Cela suppose toutefois que votre appareil soit vulnérable : si vous utilisez un smartphone relativement récent et à jour, ce risque est minime. Attention cependant à ne pas autoriser l’accès à votre téléphone si on vous le demande lors du branchement.

Cela suppose ensuite qu’un pirate de haut niveau disposant d’un programme très évolué choisisse de placer ce bijou de technologie sur l’un des millions de ports USB existant dans le monde. Cela ne correspond en rien au modèle économique de la cybercriminalité visant le grand public. Du reste, plusieurs experts interrogés par le site spécialisé Ars Technica ont fait remarquer qu’aucun cas d’infection utilisant cette méthode n’était connu.

Tout dépend, au final, de votre profil de risque. Si vous êtes à la tête d’une entreprise du CAC 40 en déplacement pour effectuer une opération stratégique pouvant intéresser vos concurrents chinois ou américains, évitez de brancher votre téléphone n’importe où.

Martin Untersinger