Quelques règles essentielles pour éviter de se faire pirater ses comptes
Fabian Piau | vendredi 1 novembre 2013 - 10:15Avril 2014, l’internet mondial découvre la faille de sécurité « Heartbleed ». Il est recommandé de changer tous vos mots de passe. Tournez Heartbleed à votre avantage en choisissant de meilleurs mots de passe :)
Quand on pense sécurité informatique, on pense souvent aux antivirus, aux pare-feu (firewall) et autres logiciels de sécurité. Bien souvent, on oublie qu’une des premières causes du piratage, et bien… c’est vous!
Mieux vaut prévenir que guérir.
Vous connaissez ce vieil adage, il s’applique aussi en informatique.
Une bonne sécurité passe d’abord par un bon mot de passe
(sans vouloir faire de jeu de mots)
- Utilisez un mot de passe différent par application. Au moins, si quelqu’un trouve votre mot de passe pour Facebook, il ne pourra pas l’utiliser pour se connecter à votre compte Twitter.
- A l’heure actuelle, beaucoup de sites (même des connus) ne chiffrent pas les mots de passe de leurs utilisateurs. Qui n’a pas déjà reçu un email contenant un rappel de son mot de passe?
On pourrait se dire: youhou, c’est génial, si je l’oublie, je pourrais directement le retrouver dans ma boite email. Mais il faudrait mieux se dire: hum, si quelqu’un pirate ma boite email, il pourra récupérer ce mot de passe, surtout cela veut dire que mon mot de passe (en clair, non crypté) se balade quelque part dans une base de données et que l’administrateur ou d’autres personnes peuvent le voir sans problème (imaginez si le site se fait pirater).
Malheureusement, le problème n’est pas de votre côté, mais c’est une raison suffisante pour avoir des mots de passe différents. - Votre mot de passe ne doit être ni simple ni logique. Une date de naissance, le nom de votre animal ou de vos enfants, un mot du dictionnaire… Tout ceci est à proscrire! Les mécanismes de Force Brute (essai de toutes les combinaisons jusqu’à violation du code) en viendront à bout en un temps record (les machines sont très puissantes maintenant). Privilégiez donc les mots de passe pas trop courts contenant majuscules, minuscules et chiffres. Bien sûr, un super mot de passe tellement complexe qu’on doit l’écrire sur un post’it pour s’en souvenir n’est pas non plus la bonne solution. Il faut donc trouver le juste milieu.
- Quand c’est possible, utiliser au maximum les services d’authentification avancés. Par exemple, l’envoi d’un code de confirmation sur votre téléphone. Les plus grands comme Google ou Facebook le proposent.
Une bonne sécurité passe aussi par du bon sens
(il faut toujours être vigilant)
- Eviter de vous connecter aux réseaux WIFI gratuits publics et Hotspots, accessibles par tous. C’est particulièrement vrai lorsque vous vous connectez à des services non sécurisés. Non sécurisé dans le sens où les échanges de données ne sont pas cryptés. Un service sécurisé utilisera le préfixe ‘https’ dans l’URL (le ‘s’ est important), là encore les applications les plus connues le supportent.
Pourquoi? Une personne mal intentionnée peut écouter et collecter toutes les données qui transitent sur un réseau public (on parle d’un sniffeur) et récupérer facilement plein d’information, c’est peu lisible, mais c’est en clair et un connaisseur pourra s’y retrouver. Dans le cas d’une recherche de vidéos de chats sur YouTube, ce n’est pas très grave, mais si vous vous connectez à une application (donc un couple identifiant/mot de passe) à partir d’un formulaire non sécurisé, ça sera tout de suite plus embêtant… - Quand vous téléchargez des logiciels, jetez toujours un coup d’oeil à l’adresse de téléchargement.
Par exemple, si vous souhaitez télécharger la dernière version d’iTunes, passez systématiquement par le site d’Apple, évitez les sites génériques tels que downloadfreesoftwares.com (j’invente, mais si ça se trouve il existe vraiment). Favorisez donc les sites des éditeurs ou, à la limite, des sites de téléchargement connus et réputés. - Même chose lorsque vous utilisez des services en ligne, vérifiez bien qu’il s’agit d’une application de confiance avant de vous inscrire et de transmettre des informations personnelles.
- Faites attention à vos emails. En particulier quand vous recevez des emails étranges n’ayant pas pu être identifiés comme spam par votre logiciel de messagerie.
Pas plus tard qu’hier, j’ai reçu un email de la part du service des impôts français pour m’informer d’un remboursement de 178.20 euros suite à une erreur (la belle affaire). L’email était tellement bien fait (pas de faute d’orthographe pour une fois) que j’ai cru à une bonne nouvelle, sauf qu’en cliquant sur le lien, je me suis aperçu qu’il y avait quelque chose qui n’allait pas. Ce n’était pas le site des impôts habituels, et surtout ils me demandaient de saisir mon numéro de carte bleue avec le code (évidemment…). C’est clairement une tentative de phishing (un leurre, de l’hameçonnage pour faire de la pêche aux informations bancaires). Une fausse page avec un formulaire classique qui reproduit à l’identique le site actuel des impôts (charte graphique, header, footer et tout ce qui va avec). Bref, on peut facilement tomber dans le panneau. - Un dernier conseil, mettez à jour vos logiciels et applications lorsque de nouvelles mises à jour sont disponibles. Que cela soit votre navigateur, ses plugins, des logiciels installés… ou même le moteur de votre blog (si vous en avez un, j’utilise le moteur WordPress dans mon cas qui bénéficie de mises à jour plusieurs fois par an).
Des failles de sécurités sont découvertes et corrigées tous les jours. Une faille de sécurité découverte est en général (plus elle est importante) publiée dans la presse, elle devient ainsi une porte d’entrée laissée grande ouverte pour les pirates. Je ne veux pas vous faire peur, mais souvenez-vous-en!
En suivant ces quelques bonnes pratiques au quotidien, vous devriez vous éviter pas mal de soucis! En tout cas, vous ne pourrez plus dire qu’on ne vous a pas prévenu!
Je réalise que j’ai un peu dénigré les chats dans cet article, j’espère qu’ils ne m’en voudront pas trop…
Commentaires récents