Pas un jour sans que la presse ne relate un nouveau piratage. Et les institutions publiques ou non-gouvernementales n’y échappent pas. Dernier en date : la fuite de données qui a touché le CICR. A l’échelle de votre PME, il est peut-être urgent de vous demander dans quelle mesure vous êtes exposés. Pour vous aider, nous avons mis en évidence 3 signaux qui devraient vous alerter. Alors, prêts à vous faire peur ?
C’est à se demander si un système informatique peut réellement être sûr. On vous rassure tout de suite : c’est possible. Pas de manière infaillible – fuyez sans autre celui qui vous promettrait le contraire, mais suffisamment pour couvrir la majeure partie des cas. Et en tout cas dissuader les opportunistes à la recherche d’une occasion facile de vous extorquer un peu d’argent (en cryptant vos fichiers par exemple). Voici donc quelques signes qui peuvent vous mettre la puce à l’oreille.
Vous réutilisez le même mot de passe partout
Gérer ses mots de passe tourne souvent au cauchemar pour la plupart des utilisateurs. La multiplication des outils et applications en ligne requiert de s’y authentifier. Et pour faire face à cette vague d’identifiants, la tentation est grande de réutiliser à l’infini le même mot de passe, votre préféré. Vous savez, celui qui contient le prénom d’un être cher ou une date de naissance.
Cette approche est dangereuse à plus d’un titre. Tout d’abord, il se peut que vous utilisiez non seulement le même mot de passe, mais qu’il soit accolé au même identifiant (votre adresse email par exemple). Et si la plupart des sites que vous utilisez sont sûrs, vous n’aurez jamais de garantie à 100%. Si bien que le maillon faible qui se fera extorquer ces précieuses données offrira un sésame que les pirates s’empresseront de tester sur tout un panel de sites : réseaux sociaux, messagerie d’entreprise, etc.
Si ces tests se feront de manière automatique – nul doute qu’en plus d’être malhonnêtes, nos hackers préférés ne sont pas du genre à s’acharner au travail, vous risquez de subir tout de même une analyse d’ingénierie sociale un peu plus poussée. C’est-à-dire ? Afin de garantir le plus grand succès à son opération, le pirate va regarder de plus près votre activité, votre employeur, et tenter de trouver d’autres portes d’entrée.
Faisons l’hypothèse par exemple que vous utilisez à titre privé un vieux compte Yahoo. Votre mot de passe se fait dérober parce que vous l’avez utilisé avec cette adresse sur un site peu sécurisé, et donc peu recommandable. Nos chers pirates vont tenter de l’exploiter sur toutes les plateformes possibles. Et aussi en profiter pour récupérer vos autres adresses email, et tenter de les exploiter avec le même mot de passe. Par exemple sur la messagerie de votre entreprise. Vous commencez à comprendre ?
Vos systèmes d’entreprise n’utilisent pas d’authentification forte
Si vous n’avez donc pas pris garde d’apporter un peu de diversité dans vos mots de passe – même privés, vous vous retrouvez donc avec un pirate qui frappe à la porte de votre compte professionnel. C’est donc votre entreprise qui est maintenant à risque, et qui doit assumer la responsabilité de ce manque de variété dans vos codes. Par chance, elle aura pris soin de mettre en place une double authentification, aussi appelée MFA (Multi-Factor Authentication). Ou pas.
Dans le cas contraire, le pirate pourra par exemple accéder à votre messagerie d’entreprise. Et ceci d’autant plus simplement qu’elles sont maintenant toutes accessibles depuis Internet : les smartphones, d’abord, puis le télétravail, ont rendu cette exposition nécessaire et incontournable En fonction de vos responsabilités ou du niveau de sensibilité des données que vous traitez, le pirate pourra tenter de rebondir pour initier des paiements ou vous faire chanter en menaçant de les dévoiler. Mais l’histoire ne s’arrête pas là, évidemment.
L’usurpation d’identité via la messagerie devient un grand classique
Accéder à votre messagerie d’entreprise permet de se faire passer pour vous. Et donc d’initier des échanges avec d’autres personnes de votre organisation, mais aussi des clients, des partenaires ou des fournisseurs. Pour tenter d’extorquer d’autres données et, de proche en proche, s’insinuer de plus en plus profondément dans le système d’information de l’entreprise. Parfois silencieusement. Alors que les attaques en force étaient la norme il y a quelques années, elles sont maintenant ciblées et bien plus sophistiquées. Dans ce domaine aussi, hélas, la qualité a remplacé la quantité.
On comprend donc l’intérêt d’un mot de passe propre à chaque site, application ou système. Et de la généralisation de la double authentification, au moins sur les services de votre entreprise. Si vous combinez l‘absence des deux, vous êtes à risque. Et même si votre mot de passe préféré n’est pas volé sur un site un peu faiblard, les pirates risquent de venir vous le demander directement, via un email de phishing par exemple. D’accord, mais dans ce cas, comment faire face à l’avalanche des mots de passe ?
Vous n’utilisez pas de gestionnaire de mot de passe
Le plus simple évidemment consiste à laisser faire un outil bien plus adapté que nos cerveaux à stocker autant de données, parfois vides de sens. C’est donc là qu’intervient le gestionnaire de mots de passe. Il permet de stocker, centraliser, crypter et protéger vos codes de sécurité. De telle sorte que vous n’avez plus à les retenir. Ou presque, puisque le dernier mot de passe que vous devrez apprendre sera celui du gestionnaire justement. Par étonnant qu’une des stars du secteur se nomme LastPass !
Si vous m’avez suivi, vous prendrez bien soin de créer un tout nouveau mot de passe pour votre gestionnaire, et de ne le noter nulle part. Il y a de fortes chances que nous n’ayez pas à l’utiliser souvent, car l’accès aux données dans votre application est protégé par un facteur biométrique (reconnaissance faciale, empreinte digitale). Et en cas de perte, une procédure vous permettra de le remettre à zéro. Idéalement, vous confierez le choix du mot de passe à un générateur, afin de le rendre difficilement prédictible.
Côté pratique, le gestionnaire de mot de passe tient dans votre poche, sur votre smartphone. Il s’intègre aussi parfaitement à votre navigateur, de sorte que vous pouvez automatiser la saisie des codes une fois dans votre session. Celle-ci doit donc aussi être protégée par un mot de passe fort. Et si une activité suspecte est détectée (utilisation de votre gestionnaire depuis un appareil inconnu), elle vous sera signalée. Pour encore plus de sécurité, vous pouvez programmer la désactivation automatique de votre gestionnaire au bout de quelques minutes d’inactivité. Et forcer ainsi la saisie de votre mot de passe maître à intervalles réguliers.
Avec ces quelques piliers sécuritaires en place, vous vous donnez les meilleures chances d’échapper aux attaques classiques. Et de ne pas faire la une des journaux. Dans le cas contraire, vous pouvez toujours continuer à noter vos mots de passe sur un tableau Excel et vivre dangereusement. Peut-être échapperez-vous tout de même au piratage. Mais qui souhaite vraiment prendre ce risque aujourd’hui ?
Emmanuel Dardaine