Comment se protéger des menaces du Web?

Prudence, sans terreur

Pascal Kotté
Conseillers Numériques Suisses Romands
6 min readJan 24, 2016

--

Important, en Suisse: Dénoncer une activité, appel/email frauduleux? (NCSC) https://www.report.ncsc.admin.ch/fr/
Attention de bien mettre toutes les informations utiles dans l’espace commentaire car le formulaire n’a pas prévu de champs spécialisé pour y placer le numéro de l’appelant, il faut donc bien le mentionner dans le commentaire.
Est-ce que cela donne l’impression que le NCSC traite cela avec sérieux et efficience, avec les automatisations requises? NON…
Mais au moins pour les courriels abusifs, cela est prévu:

Dénoncer un démarchage commercial abusif? (SECO)
https://www.seco.admin.ch/seco/fr/home/Werbe_Geschaeftsmethoden/Unlauterer_Wettbewerb/Beschwerde_melden/beschwerde_werbeanruf.html

Les meilleures pratiques sont légions sur le Web, et la confédération Suisse propose une grande littérature sur ce sujet…

Vigilance constante

Une de nos clientes, parfaitement “lambda” (bien que nous soyons tous unique), qui ne s’expose absolument pas sur les réseaux sociaux, a reçu un appel de la société Microsoft, via des opérateurs anglophones avec un fort accent type ‘indien’, depuis un numéro venant d’Angleterre (+44).

Son ordinateur était infecté! son interlocuteur pouvait lui donner la version de son Windows et plusieurs infos pour lui “prouver” qu’ils étaient bien de chez Microsoft. Il suffisait ensuite de taper une URL pour donner le contrôle à leur service, qui assurerait le nettoyage “gratuitement”…

Comme c’est gentil! Heureusement, méfiante, elle m’a téléphoné sans accepter. Pour de bon, c’était effectivement des pirates. Et son ordinateur “sain”, allait grossir le rang des Botnets (plus de 100 millions de PC zombis) si elle avait accepté.

Mes concitoyens, entrepreneurs, parents, enfants, seniors, me répètent:

“Mais moi, je suis insignifiant. Les cybercriminels ne me connaissent pas. Ils ne viendront pas chez moi!” (évitez le mot “pirate”, tous ne sont pas “méchants”)

C’est tout faux ! les automates (via les Botnets) ne vont pas se soucier de savoir si vous êtes connus, ou pas, majeur ou mineur… Les enfants de nos INTERGEN.DIGITAL me disent:

“Je n’ai rien de critique dans ma messagerie, ils peuvent y accéder, je n’ai rien de valeur à voler!”

Bien sûr! Ton Gmail ne disposes pas des quelques emails, adresses et téléphones, voir même le code pour ouvrir la porte de l’immeuble, de tes relations proches? Tu ne leur envois pas la photo du dernier écran plat géant, une folie achetée la semaine passée, ni ne leur mentionnera quand tu partiras à l’étranger pour les vacances? …(moment de réflexion)…

C’est aussi à ce moment-là, pendant ces vacances, que le mot de passe de ta messagerie sera changé. Le cybercriminel avait programmé le bon moment. Tes proches recevront un appel “au secours”, voiture et papiers volés! Il faut envoyer un virement Western Union, à l’adresse d’un hôtel, à ton nom…

Et c’est alors que tu prendras conscience de la valeur de la confidentialité de tes données.

Cet exemple très courant, n’est pas le pire des scénarios. Mais avec des enfants, il faut la jouer ‘soft’. J’ajoute tout de même comme info à ces “digital naïfs, pardon natifs”, de bien réfléchir avant de partager des photos sur Instagram, avec des coordonnées “GPS” intégrées. Puis je leur montre comment désactiver, ou supprimer ces infos d’une photo…

Sécuriser n’est plus une option

Une double identification à vos emails et réseaux sociaux

“Non, je ne veux pas donner mon numéro de portable à Google!”

N’ayez pas peur de “donner” votre numéro de téléphone portable, à ces ‘GAFAM (acteurs reconnus: Google, Apple, Facebook, Amazon, Microsoft, mais aussi LinkedIn, Twitter…). Ne rêvez pas! Il le connaisse déjà de toute façon. Il est dans les contacts de plusieurs de vos correspondants. N’y avez-vous pas vous-même mis les leurs?

Activez donc le mode 2FA (2 Factors Authentication), double identification (par code de validation en retour de SMS ou d’email).

Double identification, ce n’est pas parfait, mais largement mieux que sans! Le jeux en vaut la chandelle!

Pour éviter le fastidieux du SMS ou email de validation, sur votre propre ordinateur, activer l’option “ne pas me redemander le double code”. Mais sur les autres (cybercafé, travail, bornes…) désactiver cette option (ou l’activer, selon comment c’est proposé). Cette ‘mémorisation’ du poste client facilitera votre vie. Généralement, il est possible de lister et révoquer les postes clients autorisés (utile en cas de perte, ou de vol).

SSO facile!

SSO, Single Sign On, on peut valider un seul login, pour plusieurs services :)

Si vous réutilisez votre accès Google, ou Facebook, ou Twitter, ou autre, comme identifiant unique sur d’autres services en ligne qui vont vous le proposer (SSO), alors il est d’autant plus fondamental, d’activer le 2FA.

Venez nous rejoindre vous faire aider pour les activer lors d’un de nos http://INTERGEN.DIGITAL

Des mots de passe cohérents

Voici les recommandations de MELANI, notre confédération helvétique, relayées par nos banques et assurances, entre autres; “Choisissez pour vos mots de passe”:

https://www.melani.admin.ch/melani/fr/home/schuetzen/verhaltensregeln.html

Ils sont gentils MELANI, mais cela n’est guère réaliste!

Qui donc, arrive à changer tous les mois, les multiples mots de passe, complexes mais faciles à mémoriser, tous différents, sur chaque service web utilisé?

source: pinterest

Pour ma part, un outil logiciel de “coffre-fort à mots de passe” fiable, avec accès partageables (de façon granulaire), était indispensable pour le professionnel que je suis, avec tous les accès informatiques chez mes clients. Mais c’est désormais tout le monde qui aura besoin d’un tel coffre, avec résilience pour une sauvegarde vers sa propre famille. La famille doit être gérée électroniquement comme une micro-entreprise.

Si vous activez 2FA et SSO, vous pourriez vous passer d’un tel coffre, et nos acteurs GAFAM vont aussi vous proposer les leurs, plus simples, récupérables, donc pas assez confidentiels, même si probablement pas si mal sécurisés, peut-être... Mais avec l’option de réutiliser votre compte Google ou Microsoft, ou Facebook (SS), vous pourrez conserver votre mot de passe “facile” unifié et non changé, et éviter le fastidieux de se mettre au coffre numérique. Evitez quand même d’utiliser ce même mot de passe sur multiples sites “sensibles”.

No password easy life ?

Une autre option intéressante, abandonner le stockage de vos mots de passe, si associés avec un “oubli” renvoi par email, pour des services utilisés une fois par mois ou moins, oubliez-le et tapez le au hasard (avec un copier pour le coller 2 fois sans devoir le retaper, surtout au hasard… En espérant ne pas devoir le retaper manuellement car le raccourci Ctrl-V ne fonctionne pas :(

Il commence aussi à apparaître des services qui n’utilisent plus de mot de passe, mais un lien par email en retour. Il faut le limiter à des choses non critiques (quoique…), pas comme avec Amazon par exemple. Et si Amazon ne propose toujours pas la double identification, n’y stocker pas votre carte bancaire:

N’activez surtout pas le “one click command” !

Voir aussi

Mais aussi

Besoin d’un coaching en apprentissage numérique ? Nous contacter: www.ICT-a.ch

--

--

Conseillers Numériques Suisses Romands
Conseillers Numériques Suisses Romands

Published in Conseillers Numériques Suisses Romands

Le réseau des experts indépendants du digital pour des tranformations informatiques durables et responsables.

Pascal Kotté
Pascal Kotté

Written by Pascal Kotté

Réducteur de fractures numériques, éthicien digital, Suisse romande.

Responses (4)