Les bases de l'hygiène numérique
Mieux vaut prévenir...
Si vous lisez The Macronomist, vous êtes certainement un ou une adepte de la consultation de contenus numériques. Qu’il s’agisse de vidéos, d’articles de blogs ou de podcasts.
Ces contenus se multiplient et la manière de les consulter aussi. Mais cette démocratisation de l’accès à l’information et au divertissement s’accompagne également d’une augmentation des attaques visant vos données personnelles ou l’accès à vos comptes.
Les escrocs ne manquent pas d’imagination et la multiplication de nos appareils et de leurs usages complique drastiquement la tâche de mener une existence paisible et sereine sur Internet, à l’abri de tout risque.
Certains de nos amis, ou de mes clients quand j’étais encore ancien banquier ont été victimes d’usurpation d’identité. Faux crédits, opérations bancaires non sollicitées dans les cas les plus graves ou simple perte d’un compte mal sécurisé comme j’ai pu le vivre moi-même.
Le point commun de toutes ces histoires est facile à identifier : l’humain.
Bienvenue dans The Macronomist et aujourd’hui, pour changer, nous allons parler sécurité informatique et hygiène numérique.
Contrairement à ce que Netflix et Hollywood tentent de vous faire croire, une attaque informatique ne nécessite pas nécessairement des moyens techniques incroyables et un pro du code avec un hoodie à capuche.
En réalité, la plupart des risques informatiques et numériques auxquels vous allez devoir faire face tentent de tirer profit de la même faille : vous.
Il est tellement plus simple de tromper un humain que de pirater une machine. Cela n’était pas forcément vrai il y a 20 ans, mais les méthodes ont évolué et les systèmes de sécurité ne cessent de progresser. Et comme il est impossible pour l’utilisateur lambda de progresser aussi vite que son système, il ne peut pas systématiquement être informé sur tous les sujets.
Mais quelques bonnes pratiques permettent de réduire drastiquement les risques qu’une attaque contre vous s’avère fructueuse ou que quelqu’un qui accède à vos identifiants puisse réellement vous portez préjudice.
L’heure est donc à la prévention, et j’espère que ces (quelques) lignes pourront vous être utiles. La sécurité est un sujet sur lequel il ne me semble jamais inutile de revenir.
Sécurisez vos comptes
Oh oui, vous l’avez déjà entendu. Ce conseil d’un ami ou d’un proche qui vous enjoint d’arrêter d’utiliser le même mot de passe pour tous vos comptes. Mais comment faire alors que la moindre commande sur un site nécessite maintenant de se créer un compte ? Ces derniers demandent des mots de passe de plus en plus complexes, vous n’allez quand même pas vous amuser à en retenir ou à en inventer des dizaines ?
Rassurez-vous, la solution existe, et elle est fort simple : les gestionnaires de mot de passe.
Un gestionnaire de mot de passe est une petite application (disponible en tant qu’extension sur votre navigateur web et/ou sur l’app store de votre téléphone) qui va se charger de créer pour vous des mots de passe sécurisés et de les retenir.
Pitié, ne cédez pas à la facilité qui consiste à enregistrer vos identifiants et mots de passe (ou pire, votre carte bancaire) par votre navigateur lui-même en ce qu’un attaquant pourrait facilement avoir accès à ses données s’il parvenait à prendre le contrôle de votre machine ou du compte associé à votre navigateur (compte Microsoft, Google ou que sais-je encore).
Les gestionnaires de mot de passe les plus connus :
Bitwarden
DashLane
ProtonPass
Keepass
Lastpass (mais non)
Si cette liste n’est pas établie avec un autre de préférence, nous vous déconseillons tout de même LastPass (qui lui se retrouve en bas pour une raison). Si son interface peut paraître simple, ce gestionnaire a connu trop de failles de sécurité pour que nous puissions vous le recommander.
Les autres noms dans la liste sont tous des options viables et vous pourrez en choisir un en fonction de votre utilisation et de ce qui vous plaît le plus à utiliser.
Bien sécuriser ses comptes
La première chose à faire une fois votre outil choisi consiste à choisir un mot de passe maître qui servira à déverrouiller le coffre-fort numérique qui contient l’intégralité de vos identifiants.
IMPORTANT : ce mot de passe maître ne doit JAMAIS avoir déjà été utilisé sur un autre site sur lequel vous avez déjà créé un compte. Si ce dernier venait à être compromis, alors le hacker posséderait la clé pour accéder à l’ensemble de vos mots de passe. Une situation que nous souhaitons justement éviter.
Pour la même raison, ne stockez PAS non plus ce mot de passe sur un appareil relié à Internet.
Choisir un bon mot de passe maître :
Inutile de donner dans l’ultra complexe style “J_76$*UyçD!:1 “ que vous seriez bien en peine de retenir. La force d’un mot de passe dépend essentiellement :
Du nombre de caractères qui le composent ;
Du caractère aléatoire de ce mot de passe ;
De l’insertion de quelques caractères spéciaux ;
Et contrairement à ce que l’on peut penser, il est tout à fait possible de combiner ces différentes caractéristiques dans un mot de passe qu’il est facile de retenir.
Ainsi, une succession de mots que vous affectionnez entrecoupez de nombres et de chiffres est aussi fort qu’une suite alambiquée de tous les caractères possibles.
Par exemple : Nantes2-Peugeot208-Crepes33-Lise9 est un mot de passe long, qui varie minuscules, majuscules, chiffres et caractères spéciaux (les tirets). Il sera donc particulièrement résistant à des attaques qui visent à essayer toutes les combinaisons possibles. Tout simplement parce que plus il y a de caractères dans votre mot de passe, plus il y a de combinaisons à tester.
Comment se couvrir, comprendre les lettres grecques, traiter les données liées à la volatilité avec les options ; nous avons traité toutes ces questions dans la série d’article sur les options, disponible pour les abonnés premium.
L’entropie est une notion qui permet de mesurer la robustesse d’un mot de passe. Je vous passe les détails mathématiques mais gardez en tête que plus l’entropie de votre mot de passe est élevée, plus il faudra de temps à un attaquant pour le deviner en partant de rien.
Comme nous venons de le voir, outre la longueur du mot de passe, son caractère aléatoire est également important.
Il sera ainsi plus difficile pour un attaquant de trouver “652844917” qui est une suite de chiffres aléatoires que de trouver une suite de chiffres non aléatoires pourtant de même longueur comme “123456789”
La force des gestionnaires de mot de passe consiste à pouvoir vous proposer, pour chaque site que lequel vous avez besoin de créer un compte, un mot de passe généré aléatoirement et qui dispose d’une forte entropie. Les gestionnaires peuvent s’adapter aux politiques de mot de passe des sites (certains exigent des caractères spéciaux, d’autres les excluent).
Si vous faites déjà preuve de prudence pour protéger vos comptes, il se peut que ces explications vous semblent basiques. Pourtant, en 2023, voici les 10 mots de passe les plus choisis en France encore aujourd’hui d’après NordPass, et le temps nécessaire pour les casser :
Ces mots de passe présentent plusieurs problèmes majeurs :
La plupart n’incluent que des chiffres ou que des lettres ;
Ils ne mixent pas les majuscules et les minuscules ;
Ils ne comportent aucun caractère spécial ;
Ils ne sont pas générés aléatoirement.
L’ensemble de ces points impliquent qu’un attaquant qui voudrait s’en prendre à un compte protégé par un de ces mots de passe craquerait le compte en quelques secondes.
Il est donc crucial de bien respecter les quelques règles évoquées précédemment et, idéalement, de confier cette tâche à un gestionnaire de mot de passe. Ce qui vous permet de générer un mot de passe unique pour chaque site sur lequel vous vous inscrivez et d’éviter que la compromission de l’un d’entre eux ne s’étendent à tous vos comptes. En suivant ces quelques conseils, vous devrez déjà être bien protégés.
Mais il existe une solution pour aller encore plus loin.
Vous voulez connaître, et surtout, comprendre l’actualité économique ? L’abonnement The Macronomist est fait pour vous.
En plus de soutenir un journal indépendant, vous aurez accès à :
Deux articles par semaine, sur des sujets variés liés aux marchés. Nous avons récemment étudié le marché des semi-conducteurs, comment les gestionnaires de fonds abordent la période actuelle, le marché de l’énergie ou encore les options. Plus de 100 articles sont disponibles.
Discord, contenant des mises à jour régulières du marché, des rapports institutionnels (Goldman Sachs, JPMorgan, BoFa…), et l’accès au chat. Je réponds également à toutes les questions, et je prends vos suggestions avec grand plaisir.
Graphique sur les sujets d’actualités, tirés des rapports institutionnels.
J’espère que vous en avez déjà entendu parler et quae vous l’avez activée sur le plus de comptes possibles. La double authentification permet de générer un code qui change plusieurs fois par minute, lequel vient s’ajouter à votre mot de passe initial.
Naturellement, plus vous augmentez la sécurité de vos comptes et plus vous perdez en commodité. Mais avec l’habitude, vous connecter ne vous prendra pas plus de quelques secondes.
Les applications de double authentification (ou 2FA pour two-factor authentication en anglais) les plus connues sont Google et Microsoft Authenticator. Mais vous pouvez opter pour Authy qui fonctionne très bien et qui offre l’avantage de ne pas être lié à un GAFAM.
Une fois la double authentification mise en place, même la divulgation de votre mot de passe et de votre adresse mail ne suffisent pas à accéder à votre compte.
Si vous voulez en avoir la preuve, vous n’avez qu’à demander à ces hackers qui tentent de prendre possession de mon ancien compte Microsoft depuis maintenant plus d’un an alors que ce dernier est protégé par un code 2FA.
L’utilisation d’une 2FA peut vous permettre de refuser les demandes de connexion inopportunes même si l’attaquant détient votre identifiant et votre mot de passe.
Vous avez peut être vu passer l’information comme quoi le compte Twitter/X officiel de la SEC (Securities & Exchange Commission) avait été piraté. L’attaquant a profité de l’absence de double authentification pour prendre le contrôle du compte et publier un message validant l’approbation des ETF Spot Bitcoin 24H avant l’annonce officielle.
Cette attaque n’aurait pas été possible si le compte avait été protégé par une connexion avec double authentification.
Inutile de dire que cette affaire va certainement coûter la carrière de certaines personnes, et a coûté beaucoup d’argent à d’autres qui ont été victimes des importantes fluctuations du marché suite à cette fausse annonce. Encore une fois, des mesures de sécurité basiques auraient pu éviter ce désastre.
Le summum de la sécurité consiste à opter pour une clé d’authentification physique que vous pouvez emmener partout avec vous et dans laquelle vos codes d’accès sont stockés et générés. Certaines de ces clés utilisent la biométrie pour s’assurer que l’authentification physique est bien réalisée par le possesseur de la clé.
Il s’agit là d’une mesure un peu extrême mais elle peut permettre de sécuriser les comptes de vos exchanges de cryptomonnaies (par exemple). La solution est parfaitement supportée par Binance, Kraken, et la plupart des exchanges sérieux.
Tout dépend de ce que vous souhaitez protéger. Il est tout à fait possible d’opter pour une double authentification physique pour vos comptes les plus sensibles, en vous contentant d’un mot de passe généré par un gestionnaire fiable pour le reste.
C’est à vous de voir.
Merci de m’avoir lu jusqu’ici et n’hésitez pas à nous indiquer en commentaire si le sujet vous intéresse auquel cas nous pourrons aborder d’autres thématiques en lien avec la sécurité informatique. Les sujets ne manquent pas. C’est de toute façon une notion que j’essaierai de traiter en filigrane d’autres articles plus axés économie.
N’hésitez pas non plus à nous dire en commentaire si vous avez déjà été victime d’un piratage d’un de vos comptes ou si avez conscience d’utiliser des pratiques non optimales pour protéger vos comptes !