Publié le par Julien

Tenez vous vraiment à votre vie numérique ?

Creative Common 2.0, Sean MacEntee

Je pense être comme tout le monde, j’ai énormément de comptes sur des sites internets et j’y expose des données plus ou moins sensibles. Mais quel mécanisme me protège du vol de ces comptes et des données associées ?

Un identifiant et surtout un mot de passe, mais parlons-nous bien de ce mot de passe identique que nous utilisons sur différents sites ? Ce mot de passe qui, une fois découvert sur un simple forum mettra en danger votre compte Amazon et votre carte bancaire enregistrée sur celui-ci ? Ou pire encore l’accès à votre compte bancaire ?

Oh mon dieu ! Mais si, c’est exactement ce que j’ai fait ! Je vais immédiatement détruire tous mes comptes et brûler ma carte bancaire !

Pas si vite, il y a des alternatives un peu moins extrêmes qui vont vous permettre de sécuriser un minimum vos comptes.

L’authentification

Une authentification classique s’effectue grâce au couple identifiant et mot de passe. Mais ces données peuvent être compromises, comme par exemple quelqu’un qui regarde par dessus votre épaule dans les transports et qui découvrira vos saisies sur le clavier.

Il est possible de rajouter une étape dans ce processus afin d’ajouter un facteur supplémentaire dans la phase d’authentification. Il s’agit de la double authentification (le nom le plus courant, on peut aussi parler d’authentification multi-facteur). C’est une identification en plusieurs étapes qui commence par vérifier votre identifiant et mot de passe, puis une fois celle-ci validée, nous devrez renseigner un code supplémentaire.

Il peut s’agir d’un code à usage unique (comme un token RSA, le système Google Authenticator), un certificat (je pense ici au Fido key, au standard U2F) ou un autre mécanisme que l’on possède (envoie de SMS, ou un tableau de code).

La double authentification

Maintenant que nous avons conscience de ce léger problème, nous allons pouvoir corriger tout cela. Il s’agit donc de mettre en place sur les sites les plus sensibles ce mécanisme, voir même tous les sites. Mais nous allons voir qu’il y a des limites !

Vérification en deux étapes Amazon

Ce mécanisme est implémenté sur les sites Web, nous sommes donc dépendant de la bonne volonté de ceux-ci quant à l’intégration de la double authentification. En théorie, il faudrait donc chercher sur tous les sites parmi les options si la fonctionnalité existe !

Bon, vu sous cet angle ce n’est pas gagné ! Et là viens le sauveur, https://twofactorauth.org/, il recense les sites Web les plus connus, indique si la double authentification est disponible et surtout un lien qui explique comment faire !

Il ne vous reste plus qu’à activer la fonctionnalité là où ça vous intéresse !

Un mot de passe pour tous les contrôler !

Mais est-ce suffisant ?

Je vais donner ici une façon de procéder pour essayer d’améliorer encore un peu plus la sécurité des comptes. Il y a bien sûr d’autres possibilités, mais c’est celle que je préfère.

En premier lieu, je conseille d’utiliser un gestionnaire de mot de passe. Il s’agit d’un outil où vous allez pouvoir enregistrer tous vos comptes et mots de passe. Pour accéder à ce coffre fort, vous n’aurez qu’à retenir un seul mot de passe ! Vous pouvez oublier tous les autres, il s’en souviendra pour vous !

Pour ma  part, j’utilise Keepass. Ce dernier va vous permettre de créer un fichier chiffré contenant vos mots de passe. Je préfère ce dernier à des services en lignes qui se font compromettre régulièrement. Pour que mes mots de passe soient toujours disponibles, je stocke ce coffre fort sur un espace de stockage en ligne (mon drive, mais qui est protégé par la double authentification !) ; si vous avez suivi, cela ne me fait que 2 mots de passe à retenir.

Une fois l’outil apprivoisé, je vous conseille d’utiliser la génération aléatoire de mot de passe afin de créer des mots de passe qui sont tous différents et ne comporte pas de mot du dictionnaire.

Et la dernière étape pour vous faciliter la vie, est l’installation d’un plugin dans votre navigateur (il en existe moult) qui pourra renseigner les mots de passe à votre place et l’auto-complétion ne sera réalisée que si l’URL du site dans votre navigateur correspond à celle de votre base. Les risques de phishing n’en seront que réduits.

Et si jamais vous pensez que votre mot de passe à été compromis, par exemple si vous l’avez utilisé sur un ordinateur public, ou bien vous remarquez une activité inhabituelle sur votre compte, c’est qu’il est temps de le changer !

Maintenant plus d’excuses pour ne pas sécuriser vos données.

Fièrement propulsé par WordPress