Conseils de sécurité pour vous protéger des pirates informatiques

Traduction de l’article « Security Tips »

Bonjour. Je suis tombé récemment sur un article de Firefox Monitor expliquant la marche à suivre après une fuite de données. Les premières lignes sont en français, et le reste est en anglais. C’est dommage car plein de choses intéressantes y sont évoquées . D’ailleurs, je comptais rédiger quelques articles sur ces thèmes. Étant donné qu’en ce moment j’ai du temps, je me suis dit que ça serait une bonne idée de le traduire plutôt que de tout reformuler. Néanmoins, vous verrez que j’y ai apposé quelques « Notes » car certains point me font tiquer. De plus, il y a beaucoup de répétition mais j’ai préféré laisser l’article tel quel plutôt que de tout remanier. Pour votre information, je me suis aidé de DeepL pour la traduction. Bonne lecture !

 

I. Comprendre le mode opératoire des pirates.

Protégez vos mots de passe des cybercriminels, car ce sont ces informations qu’il les intéressent le plus.

II. Que faire après une fuite de données ?

Verrouillez vos comptes pour que vos informations ne tombent pas entre de mauvaises mains.

III. Comment créer des mots de passe robustes ?

Créez des mots de passe robustes, sûrs et difficiles à deviner.

IV. Mesures à prendre pour protéger votre identité en ligne.

Comprendre les menaces les plus courantes et savoir les détecter.

V. 5 idées reçues sur les gestionnaires de mots de passe.

Apprendre à éviter les mauvaises habitudes de mots de passe qui facilitent le travail d’un pirate informatique.

VI. Prendre des mesures supplémentaires pour protéger votre identité.

Découvrir comment atténuer les risques de vol d’identité afin de prévenir les pertes financières.


Les fuites de données sont devenues de plus en plus courantes. Lorsque vous êtes concerné par une de ces fuites, tout un tas d’informations se retrouvent compromises, telles que votre mot de passe, votre nom d’utilisateur et votre adresse électronique. Qu’est-ce que cela signifie pour votre sécurité sur Internet ? Que devez-vous faire ? Apprenez comment reprendre le contrôle après une violation de données et à mieux protéger vos appareils électroniques, vos comptes en ligne et vos données personnelles contre les cybercriminels.

 

I. Comprendre le mode opératoire des pirates.

Oubliez les pirates informatiques que l’on voit dans les films, essayant de casser le mot de passe d’un individu pour récupérer des fichiers top secrets. Les hackers responsables des fuites de données commencent par cibler les entreprises, et non pas des individus spécifiquement. Ils convoitent les données du plus grand nombre de personne possible, afin de pouvoir les utiliser, les revendre ou les exploiter pour gagner de l’argent. Tout commence par l’obtention de votre mot de passe.

 

Il n’y a rien de personnel.

Les pirates ne se soucient pas vraiment de savoir quelles informations personnelles et quels identifiants ils peuvent obtenir, tant qu’ils peuvent en obtenir en grande quantité. C’est pourquoi, les cybercriminels ciblent des entreprises gigantesques comptant des millions d’utilisateurs. Ces pirates recherchent une faille de sécurité – l’équivalent numérique dune porte déverrouillée ou d’une fenêtre ouverte. Il leur suffit de trouver une porte ou une fenêtre pour entrer. Ils dérobent ou copient ensuite autant d’informations personnelles que possible se trouvant sur les comptes en ligne des utilisateurs.

 

Tous les types de données peuvent être précieuse.

Certaines données, comme les informations bancaires, les numéros de carte bleues, les numéros de carte d’identité, ainsi que les codes PIN, sont précieuses car elles peuvent être utilisées pour voler l’identité de la victime ou pour lui extorquer de l’argent. Les adresses emails et les mots de passe sont eux aussi précieux car les pirates peuvent tenter de les utiliser sur d’autres comptes en ligne. Tous types de données peuvent être précieux d’une maniére ou d’une autre car elles peuvent être vendues sur le « dark web« .
 

Ce qui rend un mot de passe facile à deviner.

Si les pirates peuvent obtenir une liste d’adresses électroniques à la suite d’une fuite de données, c’est déjà un bon début pour eux. Il leur suffit de choisir le site web de leur choix et d’essayer ces e-mails avec les mots de passe les plus populaires. Il y a de fortes chances qu’ils puissent accéder à un grand nombre de comptes. N’utilisez donc pas l’un de ces 100 pires mots de passe de 2018.

  • 12346 et password sont les mots de passe les plus utilisés. Ne les utilisez pas.
  • Changer une lettre par un symbole (par exemple : p@ssw0rd) est une astuce évidente que les pirates connaissent bien
  • Évitez d’utiliser votre équipe de sport favorite, ou des références à la pop culture. Utilisez quelque chose de plus obscure.
  • N’utilisez pas un simple mot comme soleil, singe, ou football. Utiliser une phrase ou une expression rendra votre mot de passe plus robuste.
  • N’utilisez pas une suite de numéros logiques comme 11111111, abc123 ou 654321
  • Ajouter un nombre ou un signe de ponctuation à la fin de votre mot de passe ne le rend pas meilleur.

 

Un seul mot de passe révélé peut déverrouiller de nombreux comptes en ligne.

Les pirates savent que les gens réutilisent les mêmes mots de passe. Si votre mot de passe de compte en banque est le même que celui de votre e-mail et de votre compte Amazon, une seule vulnérabilité sur un de ces sites peut mettre les autres en danger.

C’est pourquoi vous devez utiliser un mot de passe différent pour chaque compte. En moyenne, une personne possède 90 comptes, ça fait beaucoup de mot de passe à retenir ! Les experts en sécurité recommandent d’utiliser un gestionnaire de mot de passe pour stocker en toute sécurité un mot de passe unique pour chaque site.

 

Les pirates informatiques se fichent de la quantité d’argent que vous avez.

Vous pensez que vous n’avez pas besoin de vous inquiéter parce que vous n’avez pas beaucoup d’argent à voler ? Les pirates informatiques s’en moquent. Il existe d’innombrables façons de tirer profit de tous les types de données personnelles.

Grâce au vol d’identité, les cybercriminels peuvent obtenir de nouvelles cartes de crédit ou demander des prêts en votre nom. En obtenant vos informations financières, ils peuvent effectuer des achats ou des retraits. Ces agresseurs peuvent même trouver des moyens de cibler vos amis et votre famille une fois qu’ils ont accès à votre courrier électronique.

 

II. Que faire après une fuite de donnée ?

Vous recevez un courrier électronique, soit de Firefox Monitor,

(Note du traducteur : Firefox Monitor est un service en ligne qui vous averti dés lors que votre e-mail apparaît dans une fuite de donnée)

soit d’une entreprise où vous avez un compte. Il y a eu un incident de sécurité. Votre compte a été compromis. Être informé que vous avez été victime d’une violation de données peut être alarmant. Vous avez de bonnes raisons de vous inquiéter, mais il existe quelques mesures que vous pouvez prendre immédiatement pour protéger votre compte et limiter les dégâts.

(Note du traducteur : les entreprises communiquent rarement sur les fuites de données, ça leur donne une mauvaise image, et mauvaise publicité)

 

Lisez attentivement pour comprendre ce qui s’est passé.

Quelles données personnelles vous concernant ont été compromises ? Vos prochaines étapes dépendront des informations que vous devez protéger. Quand la violation s’est-elle produite ? Vous pouvez recevoir l’alerte des mois, voire des années, après que la violation de données s’est produite. Il faut parfois un certain temps aux entreprises pour découvrir une violation. Parfois, les violations ne sont pas immédiatement rendues publiques.

 

Si ce n’est pas encore fait : changez votre mot de passe.

Verrouillez votre compte à l’aide d’un nouveau mot de passe. Si vous ne pouvez pas vous connecter, contactez le site web pour demander comment vous pouvez récupérer ou fermer le compte. Vous voyez un compte que vous ne reconnaissez pas ? Le site peut avoir changé de nom ou quelqu’un peut avoir créé un compte pour vous.

 

Si vous utilisez ce même mot de passe sur d’autres comptes en lignes : changez les aussi.

Les pirates informatiques peuvent essayer de réutiliser votre mot de passe compromis pour accéder à d’autres comptes. Créez un mot de passe différent pour chaque site web, en particulier pour vos comptes bancaires, votre compte de courrier électronique et les autres sites web où vous enregistrez des informations personnelles.

 

Prenez des mesures supplémentaires en cas de violation de vos données bancaires.

La plupart des fuites ne concernent que les courriels et les mots de passe, mais certaines contiennent des informations bancaires sensibles. Si vos numéros de compte bancaire ou de carte de crédit ont mis en jeu dans une violation, alertez votre banque d’une éventuelle fraude. Surveillez les relevés de compte pour détecter les frais que vous ne reconnaissez pas.

 

Examinez vos rapports de crédit pour détecter les vols d’identité

Si vous avez des antécédents de crédit aux États-Unis, vérifiez vos rapports de crédit pour détecter toute activité suspecte. Assurez-vous qu’aucun nouveau compte, prêt ou carte n’a été ouvert à votre nom. La loi vous autorise à obtenir gratuitement un rapport des trois principaux bureaux de renseignements sur le crédit chaque année. Demandez-les par l’intermédiaire de annualcreditreport.com. Et ne vous inquiétez pas, la vérification de votre propre rapport de crédit n’affecte jamais votre score.

(Note du traducteur : Évidemment le paragraphe précédent ne s’applique que pour les crédits aux Etats-Unis. Je ne sais pas si des équivalents existent en France …)

 

III. Comment créer des mots de passe robustes ?

Votre mot de passe est la première ligne de défense contre les pirates et les accès non autorisés à vos comptes. La solidité de votre mot de passe impacte directement votre sécurité en ligne.
Pour créer un mot de passe fort, essayez de combiner au moins deux mots sans rapports entre eux. Cela peut aussi être une phrase entière. Ensuite changez certaines lettres par des caractères spéciaux ou des nombres. Plus le mot de passe est long; plus il est robuste. Un seul mot avec une lettre changée par un @ ou un ! (comme p@ssword! par exemple) ne permet pas d’obtenir un mot de passe solide. Les programmes conçus pour craquer les mots de passe contiennent tous les types de ces combinaisons et dans toutes les langues.

(Note du traducteur : exemple de mot de passe robuste : Buvez_force_5_potamochère! )

 

Conseil de sécurité : Évitez d’utiliser ces 100 mots de passe les plus utilisés.

Chaque année, SplashData évalue des millions de mot de passe qui ont fuité et répertorie les 100 mots de passe les plus courant. La liste la plus récente inclus password, 123456 et d’autres mots de passe que vous ne devez pas utiliser.

 

Certains mots sont à bannir dans les mots de passe.

De nombreuses personnes utilisent le nom de leurs proches, des lieux ou des choses familières dans leurs mots de passe, car cela permet de les mémoriser facilement. Cela rend également vos mots de passe faciles à deviner pour les pirates informatiques.

Selon une étude menée par Google, les mots de passe qui contiennent les informations suivantes sont considérés comme peu sûrs car ils sont faciles à deviner. En effet, on peut trouver une grande partie de ces informations en consultant le profil d’une personne sur les réseaux sociaux.

  • Noms d’animaux domestiques
  • Une date importante, telle qu’un anniversaire de mariage
  • L’anniversaire d’un membre de la famille
  • Le nom de votre enfant
  • Le nom d’un autre membre de la famille
  • Votre lieu de naissance
  • Une fête préférée
  • Quelque chose en rapport avec votre équipe sportive préférée
  • Le nom d’une autre personne importante
  • Le mot password

(Note du traducteur: ou mot de passe en français, c’est pareil)

 

Différents mots de passe pour différents comptes en ligne

Pour garder vos compte aussi sécurisés que possible, il est préférable que chaque compte soit associé à un mot de passe unique. Ainsi, si une base de données est violée, les pirates ne peuvent pas utiliser ces identifiants pour accéder à d’autres comptes.

Bien que personne ne puisse empêcher les pirates de pirater, vous pouvez cesser de réutiliser le même mot de passe partout. Sinon, cela devient beaucoup trop facile pour les cybercriminels d’attaquer un site et d’obtenir votre mot de passe pour tous les autres.

 

Utiliser un gestionnaire de mot de passe pour tous les retenir

Est ce que vous devez réellement retenir 100 mots de passes ? Bien sur que non ! Un gestionnaire de mots de passe est un logiciel qui conserve tous vos mots de passe en sécurité, chiffrés et protégés. Il peut même générer des mots de passe forts pour vous et les entrer automatiquement dans les sites web et les applications.

Les gestionnaires de mots de passe sont comme un coffre-fort numérique pour tous vos comptes en ligne. Vous n’avez besoin que d’une seule clé pour accéder à vos comptes : Un mot de passe unique, facile à retenir mais difficile à deviner. Ce « super » mot de passe déverrouille le coffre-fort.

Mais qu’est ce qu’il se passe si votre gestionnaire de mot de passe est piraté ? Un bon gestionnaire garde vos mots de passe chiffrés derrière un mot de passe qu’il ne connaît pas (vous seul le connaissez). Il ne stocke aucun de vos identifiants sur ses serveurs. Bien qu’aucun outil ne puisse garantir à lui seul une sécurité totale en ligne, les experts en sécurité s’accordent à dire que l’utilisation d’un gestionnaire de mots de passe est bien plus sûre que l’utilisation du même mot de passe partout.

(Note du traducteur : Pour garantir votre sécurité, je vous recommande l’emploi de logiciels libres. Leur code source étant ouvert, ils sont généralement audité plus souvent et plus facilement par des entreprises spécialisées dans la sécurité informatique. Aussi, un code source ouvert est une garantie dans le sens où vous êtes sûr qu’aucune données n’est stockée ou envoyée sur un serveur quelque part dans le monde.)

De nombreux sites web proposent une authentification à deux facteurs, également connue sous le nom d’authentification 2FA ou d’authentification multi-factoriel. En plus de votre nom d’utilisateur et de votre mot de passe, la 2FA nécessite une autre information pour confirmer votre identité. Ainsi, même si quelqu’un possède votre mot de passe, il ne peut pas entrer.

Retirer de l’argent à un distributeur automatique est un exemple de 2FA. Il nécessite votre code ET votre carte bancaire. Vous avez donc besoin de ces deux pièces (deux facteurs) pour effectuer la transaction.

Les sites web qui proposent la 2FA comprennent Google et Amazon. Lorsque vous avez activé la fonction 2FA, le site vous envoie un code à saisir après votre mot de passe. D’autres formes de 2FA incluent les clef USB YubiKeys et les applications de sécurité comme DUO. Lorsque vous créez 2FA, de nombreux sites vous donnent une liste de codes de sauvegarde pour vérifier votre compte. Un gestionnaire de mots de passe est un excellent endroit pour stocker ces codes.

(Note de l’auteur :  Ces dernières ligne sont pas clair, mais par soucis de bien faire , j’ai traduit le biniou quand même. Pour aller plus loin je vous recommande ce court article.)

 

Bien ! VS Pas bien !

BIEN : Combinez deux ou plusieurs mots sans rapport entre eux. Changez les lettres en chiffres ou en caractères spéciaux.
PAS BIEN : N’utilisez pas le mot password (ou mot de passe), ni aucune combinaison de ce mot. P@ssword ! (ou m0t de p@sse) est tout aussi facile à deviner pour les pirates informatiques.

BIEN : Faites en sorte que vos mots de passe comportent au moins 8 caractères. Visez 12 à 15 caractères.
PAS BIEN : Utilisez des mots de passe courts, à un seul mot, comme soleil, singe ou football.

BIEN : Utilisez une combinaison de lettres majuscules et minuscules, de chiffres et de symboles.
PAS BIEN : Ne placez pas les caractères spéciaux (@, !, 0, etc.) uniquement au début ou à la fin.

BIEN : Incluez des mots inhabituels que vous êtes le seul à connaître. Cela devrait sembler absurde aux autres personnes.
PAS BIEN : N’incluez pas d’informations personnelles comme votre date de naissance, votre adresse ou le nom des membres de votre famille.

BIEN : Veillez à ce que vos mots de passe soient protégés et sécurisés, comme s’ils étaient chiffrés dans un gestionnaire de mots de passe.
PAS BIEN : Ne partagez pas vos mots de passe. Ne les mettez pas sur un morceau de papier collé à votre ordinateur.

BIEN : Répartissez différents chiffres et caractères dans votre mot de passe.
PAS BIEN : N’utilisez pas de modèles courants comme 111111, abc123 ou 654321.

BIEN : Créez des mots de passe uniques et complexes pour chaque site.
PAS BIEN : N’utilisez pas le même mot de passe partout.

BIEN : Utilisez une couche de sécurité supplémentaire avec une authentification à deux facteurs (2FA).
PAS BIEN : Ne pensez pas qu’un mot de passe plus faible est plus sûr parce que vous avez une authentification à deux facteurs.

IV. Mesures à prendre pour protéger votre identité en ligne.

Les violations de données sont l’une des nombreuses menaces en ligne. L’utilisation de connexions internet sécurisées, la mise à jour de vos logiciels, l’évitement des courriers électroniques frauduleux ainsi qu’une meilleure hygiène à propos de vos mots de passe vous aideront à naviguer en toute sécurité.

 

Méfiez vous des Wi-Fi publics

Désormais, vous pouvez avoir du Wi-Fi presque partout. Mais ces réseaux ouverts sont les plus vulnérables et sont généralement les moins sécurisés. Cela inclut les connections Wi-Fi au restaurant, à la bibliothèque, dans les aéroports, et dans tous les autres espaces publiques. Si vous pouvez les éviter : n’utilisez pas de Wi-Fi publique. Plus important encore : n’utilisez pas ces réseaux pour vous connecter à des sites bancaires ou pour faire du shopping en ligne. Il est relativement facile pour quiconque de voir ce que vous faites sur le réseau.

Nous vous recommandons plutôt d’utiliser un réseau privé virtuel (VPN), qui vous permet d’utiliser le Wi-Fi public de manière plus sûre et de garder votre comportement en ligne privé. Un VPN achemine votre connexion à travers un serveur sécurisé qui chiffre vos données avant que vous n’arriviez sur une page web.

Note du traducteur : Au sujet des VPN, comme lors du choix d’un gestionnaire de mot de passe, privilégiez des VPN en qui vous pouvez avoir confiance. Les entreprises (coucou Nord VPN) vous promettent monts et merveilles ; c’est normal : elles veulent des clients pour gagner de l’argent. Êtes vous vraiment certain de ce qu’ils vont faire de vos données ? Est ce que leurs serveurs sont dans des pays où la neutralité du net est bafoué ? (coucou les USA). Un dernier conseil : ne vous fiez pas au prix.

 

Faire les mises à jours dès que possible.

Mettre à jour les logiciels sur votre ordinateur, ou les applications sur votre smartphone peut sembler laborieux, mais c’est une étape cruciale pour assurer la sécurité de vos appareils. Ces mises à jours répare les bogues, les vulnérabilités, et les problèmes de sécurités. Mettre à jour régulièrement votre smartphone et votre ordinateur (applications, et système d’exploitation) rend vos appareils plus sûrs.

Conseil pour sécuriser vos comptes en lignes :

  • Utilisez des mots de passe uniques et solides pour chaque compte
  • Utilisez un gestionnaire de mots de passe pour vous souvenir de tous vos mots de passe
  • Activez l’authentification à deux facteurs pour un niveau de sécurité supplémentaire
  • Utilisez un VPN (réseau privé virtuel) lors de l’utilisation du Wi-Fi public
  • Mise à jour de la dernière version de tous les logiciels; applications; et systémes d’exploitation.

Conseil de sécurité : activez les mises à jour automatiques.

Vous pouvez configurer votre ordinateur, votre navigateur, vos applications et votre téléphone pour qu’ils se mettent à jour automatiquement dès que de nouvelles mises à jour sont disponibles.

 

Soyez vigilant dès qu’un e-mail vous semble un peu étrange (même un peu).

Le phishing (ou hameçonnage) est un type d’arnaque par e-mail qui devient extrêmement répandue. Dans ces e-mails, les pirates informatiques se font passer pour un service ou une entreprise en qui vous avez confiance. Ces e-mails peuvent même venir d’un de vos contacts. Ils ressemblent à des e-mails authentiques car ils imitent la conception des courriers électroniques authentiques, comme ceux de votre banque ou de votre fournisseur d’accès à Internet.

Le but de ces pirates est de vous faire entrer sans le savoir votre mot de passe ou de télécharger un document qui peut infecter votre ordinateur. La plupart des services en ligne ne vous demanderont pas de saisir vos informations de connexion directement à partir d’un courriel. S’ils le font, vous devez plutôt vous rendre directement sur leur site web pour vous connecter.

L’objectif de ces pirates est de vous faire entrer sans le savoir votre mot de passe ou de télécharger un document qui peut infecter votre ordinateur. La plupart des services en ligne ne vous demanderont pas de saisir vos informations de connexion directement à partir d’un courriel. S’ils le font, vous devez plutôt vous rendre directement sur leur site web pour vous connecter.

Réfléchissez avant de remplir quoi que ce soit. Cet e-mail vous semble-t-il sortir de nulle part ? Est-ce que quelque chose semble bizarre ? Vous demande-t-on de vous connecter à un compte pour mettre à jour quelque chose ? Ne cliquez pas, et n’entrez votre mot de passe nulle part. Ouvrez votre navigateur et tapez plutôt l’adresse du site web de l’entreprise.

 

Reconnaître les signes classiques d’un courriel suspect.

  • Les fautes de grammaire ou d’orthographe
  • L’adresse d’envoi semble inhabituelle
  • Promet quelque chose qui semble trop beau pour être vrai
  • Vous demande de vous connecter à partir du courriel lui-même
  • Vous demande d’ouvrir ou de télécharger un fichier que vous ne reconnaissez pas

 

Soyez sélectif quant aux personnes à qui vous donnez votre adresse électronique.

Plus vous souscrivez de comptes en ligne, plus vous risquez d’être impliqué dans une violation de données. De nombreuses entreprises, services, applications et sites web vous demandent votre adresse électronique. Mais ce n’est pas toujours nécessaire. Voici quelques moyens d’éviter de donner votre adresse électronique :

  • Ne créez pas de compte si ce n’est pas nécessaire. Par exemple, de nombreux portails d’achat en ligne vous permettent de régler vos achats en tant qu’invité.
  • Si un site web nécessite une adresse électronique, utilisez des services comme 10minutemail ou Nada, qui vous permettent de créer des mails temporaires.
    (Note du traducteur : certains site web blacklist ce type de services)
  • Créez une adresse électronique différente pour vous inscrire aux promotions et aux bulletins d’information. N’indiquez pas d’informations personnelles qui pourraient être utilisées pour vous identifier dans cette adresse électronique, comme votre nom ou votre date de naissance.

 

Conseil de sécurité : comment créer des mots de passes robustes ?

Inclure une combinaison de majuscules et de minuscules, chiffres, et caractères spéciaux. Combiner des mots n’ayant aucun rapport entre eux et y changer quelques lettres est une bonne méthode.

 

Utilisez un mot de passe unique et robuste pour chaque compte en ligne.

L’un des meilleurs moyens de se protéger en ligne est d’utiliser différents mots de passe pour tous vos comptes en ligne. De cette façon, les pirates n’auront pas les clés de toute votre vie numérique s’ils mettent la main sur ce seul mot de passe que vous utilisez partout.

Vos mots de passe doivent également être robustes. Des mots isolés (comme soleil, singe ou football) font des mots de passe faibles. Ce sont ceux que l’on retrouve dans les 100 mots de passe les plus utilisés, ainsi que password et 123456. Évitez les références à la culture pop, aux équipes sportives et aux informations personnelles. N’utilisez pas votre adresse, votre date de naissance, les noms des membres de votre famille ou les noms de vos animaux domestiques. Plus vos mots de passe sont longs et uniques, plus ils seront difficiles à déchiffrer par les pirates informatiques.

Conseil de sécurité :

Firefox recommande 1 Password, LastPass, Dashlane, et Bitwarden pour leur sécurités et leurs facilitiés d’utilisation.

Note du traducteur : Je NE RECOMMANDE PAS 1 Password, LastPass, Dashlane, en effet, ce sont des licences propriétaire et vous devez donc faire confiance aveuglément à ces intermédiaire technique. Voici une liste non exhaustive de gestionnaire de mot de passe libre, à vous de faire votre choix !

Souvenez vous de tous vos identifiants de connexion avec un gestionnaire de mots de passe.

Vous avez déjà oublié votre mot de passe ? Cela arrive tout le temps. En moyenne, une personne possède 90 comptes en ligne. Et on nous demande sans cesse d’en créer de nouveaux.

La bonne nouvelle, c’est que vous n’avez pas à vous souvenir de tous vos mots de passe. Les gestionnaires de mots de passe sont des applications sécurisées et faciles à utiliser qui font le travail de mémoire pour vous. Ils remplissent même vos mots de passe dans des sites web et des applications lorsque vous devez vous connecter. Tout ce dont vous avez besoin pour vous souvenir est un seul mot de passe – celui que vous utilisez pour déverrouiller votre gestionnaire de mots de passe. Ils peuvent même générer des mots de passe difficiles à deviner pour vous aider à sécuriser vos comptes. Toutes vos données sont cryptées, ce qui rend les gestionnaires de mots de passe assez sûrs, même s’ils sont piratés.

 

V. 5 idées reçues sur les gestionnaires de mots de passe.

Les gestionnaires de mots de passe sont les outils les plus recommandés par les experts en sécurité pour protéger vos identifiants des pirates informatiques. Mais beaucoup de gens hésitent encore à les utiliser. Voici pourquoi les gestionnaires de mot de passe sont sure, sécurisé, et sont votre meilleures défenses contre les cybercriminels avides de mots de passe.          

Qu’est ce qu’un gestionnaire de mot de passe ?    

C’est comme un coffre-fort pour vos mots de passe. Lorsque vous avez besoin de quelque chose à l’intérieur du coffre, vous le déverrouillez. Les gestionnaires de mots de passe fonctionnent de la même manière pour vos identifiants en ligne.

Vous créer un seul, super mot de passe ultra robuste, qui fonctionne comme une clef. Installez le gestionnaire de mot de passe sur votre téléphone, votre ordinateur, votre navigateur, et vos autres périphériques. Vos mots de passe y sont stockés en toute sécurité. A chaque fois que vous avez besoin de vous connecter à un de vos comptes, déverrouillez votre gestionnaire de mot de passe, et retrouvez vos identifiants de connexion.

Mythe 1 : Les gestionnaires de mots de passe ne sont ni sûr ni dignes de confiance.

Les vulnérabilités sur les sites web, et les incidents de sécurité étant en augmentation, bon nombre de personnes ont fini par se méfier d’un outil technique pour gérer leurs mots de passe. Que se passe-t-il si le gestionnaire de mots de passe est piraté ?
Les gestionnaires de mots de passe réputés prennent des mesures supplémentaires pour verrouiller vos informations et les protéger contre les cybercriminels.

Un bon gestionnaire de mots de passe :

  •     Ne connaît pas votre mot de passe principal (les pirates ne peuvent donc jamais le voler)
  •     Chiffre toutes vos données 
  •     Ne stocke aucune de vos données sur leurs serveurs
  •     Peut générer un mot de passe fort et sécurisé

Mythe 2 : Les gestionnaires de mot de passe ne sont pas 100% sécurisé, donc je ne devrais pas en utiliser un.

Aucun outil de protection de la vie privée ne peut garantir totalement votre sécurité en ligne. Même le verrou le plus élaboré peut être forcé. Pourtant, nous verrouillons toujours nos portes de nos maisons et de nos voitures. 
 
L’alternative à l’utilisation d’un gestionnaire de mots de passe est de s’appuyer sur votre propre mémoire pour retenir tous vos identifiants. Cela conduit inévitablement à recycler les mots de passe ou à utiliser des variantes – une mauvaise habitude que les pirates informatiques adorent.
 
Les gestionnaires de mots de passe peuvent être un outil de sécurité efficace parce qu’ils nous aident à améliorer nos mauvaises habitudes. Avec un gestionnaire de mots de passe installé sur votre ordinateur et votre téléphone, il est beaucoup plus facile d’emporter vos identifiants partout afin de pouvoir utiliser des mots de passe uniques et forts sur chaque compte.
 
Note du traducteur : Au sujet de la protection des ordi-phones, je vous invite à lire un de mes articles à ce sujet.

 

Mythe 3 : Stocker tous mes mots de passe au même endroit les rendent vulnérables face aux pirates.

Les gestionnaires de mots de passe ne conservent pas tous vos identifiants au même endroit. Toutes les données que vous stockez dans un gestionnaire de mots de passe – mots de passe, identifiants, questions de sécurité et autres informations sensibles – sont chiffrés en toute sécurité. Même si le gestionnaire de mots de passe est piraté, les cybercriminels ne pourront pas voir vos identifiants.
Note du traducteur : Je comprends pas trop pourquoi Firefox considère que les mots de de passe ne sont pas au même endroit. D’après moi, les mots de passe d’un gestionnaire de mot de passe sont contenu dans une base de données chiffré. Donc certes tous les mots de passe sont dans cette base de donnée (sous entendu : au même endroit) mais même si elle est piratée (c’est à dire si il y a une fuite de donnée sur ce fichier) on ne peut rien en faire car les données contenues à l’intérieur sont chiffrées.
 
La seule façon d’accéder à vos données est d’utiliser le seul mot de passe principal que vous seul connaissez. Vous utilisez ce mot de passe pour déverrouiller le gestionnaire sur votre ordinateur, votre téléphone ou d’autres appareils. Une fois déverrouillé, un gestionnaire de mots de passe peut remplir vos identifiants de connexion aux sites web et aux applications.
        

Mythe 4 :Me souvenir de tous mes mots de passe est plus sure que de faire confiance à une technologie qui le fait pour moi.

Notre mémoire nous fait souvent défaut. 
 

Vous avez déjà cliqué sur un lien « mot de passe oublié » ? Il est très courant d’utiliser des variantes du même mot de passe pour les rendre plus faciles à retenir. Avec un gestionnaire de mots de passe, vous n’avez pas besoin de vous souvenir de vos identifiants. Il peut être installé sur tous vos appareils et remplira automatiquement vos mots de passe pour vous. Une fois que vous aurez pris l’habitude d’en utiliser un, vous n’aurez plus à vous soucier d’oublier vos identifiants.

 

Mythe 5 : C’est vraiment pénible de paramétrer un gestionnaire de mot de passe.

Bien sûr, il faut du temps pour enregistrer tous vos identifiants dans un gestionnaire de mots de passe. Mais vous n’avez pas besoin de tout faire en même temps. Vous pouvez toujours commencer petit et ne changer que quelques mots de passe à la fois. Essayez d’installer un gestionnaire de mots de passe et de créer de nouveaux mots de passe uniques pour les sites web que vous visitez le plus souvent. Au fil du temps, en vous connectant à d’autres sites, vous pourrez en ajouter d’autres.

VI. Prendre des mesures supplémentaires pour protéger votre identité.

Note du traducteur : J’ai l’impression que la partie qui suit est valable pour les États-Unis, le système des crédits étant différent en Europe. Pour faire un parallèle avec la France, dans le cas d’une fuite de donnée comprenant des identifiants bancaires, je pense que c’est une bonne idée de toujours à vérifier vos comptes et à détecter tout mouvement qui vous semble bizarre. Le passage concernant l’usurpation d’identité reste valable quel que soit le pays.
Lorsque des violations de données importantes se produisent on parle immédiatement des rapports de solvabilité. Les experts en sécurité recommandent de vérifier vos comptes pour détecter toute activité suspecte. Pour protéger votre identité, ils vous recommandent également de geler vos comptes. Voici ce que cela signifie et pourquoi c’est important.

Qu’est-ce qu’un rapport de crédit ? Est-ce que j’en ai un ?                                       

Si vous avez déjà loué un appartement, ouvert un compte bancaire ou demandé une carte de crédit ou un prêt, vous avez probablement un rapport de solvabilité.
 
En fait, vous avez trois rapports de crédit. Il existe trois bureaux d’évaluation du crédit aux États-Unis : Experian, TransUnion et Equifax. Chacun d’eux possède un rapport sur vous qui contient des informations personnelles sur vos antécédents en matière de crédit. Vos rapports de crédit contiennent :                                                                                                             
  • Des informations d’identification personnelles, telles que votre nom, vos adresses passées et actuelles, votre numéro de sécurité sociale et votre date de naissance
  • Les comptes de crédit actuels et passés, tels que les cartes de crédit, les prêts hypothécaires, les prêts étudiants et les prêts automobiles.
  • Des informations sur les demandes de renseignements, c’est-à-dire les cas où vous avez demandé de nouveaux prêts ou de nouvelles cartes de crédit.
  • Informations sur les faillites et les recouvrements.
  • Votre rapport de crédit ne comprend pas votre cote de crédit.

 

Pourquoi devriez vous vérifiez vos rapports de crédit une fois par an :

Le fait que vos informations soient exposées lors d’une violation de données vous expose à un risque d’usurpation d’identité. Si quelqu’un vole votre identité et tente d’ouvrir de nouvelles cartes ou de nouveaux prêts en votre nom, cela apparaîtra sur vos rapports de crédit. Chacun peut contenir des informations légèrement différentes, c’est pourquoi il est important de vérifier régulièrement les trois.
Selon la loi (Note du traducteur : J’imagine que l’on parle de la loi Américaine ?) , vous avez droit à un rapport de crédit gratuit par an de la part de chacune des trois agences d’évaluation du crédit. Vous pouvez demander vos rapports de crédit sur annualcreditreport.com. C’est le seul site officiel et véritablement gratuit pour obtenir vos rapports. Vous pouvez également appeler directement Experian, TransUnion et Equifax ou demander vos rapports par courrier.

La vérification de votre propre rapport de crédit n’affectera pas votre score.                                       

Vous ne serez jamais pénalisé pour avoir vérifié votre propre rapport ou votre propre score de crédit. Et la vérification de votre rapport n’a aucune incidence sur votre score. Experian, TransUnion et Equifax peuvent offrir des forfaits payants de surveillance de l’identité ou faire payer l’accès à votre pointage de crédit, mais il est toujours gratuit de vérifier votre dossier une fois par an.
Bien que les informations contenues dans votre dossier de crédit aient un impact direct sur votre score, les rapports ne contiennent pas réellement votre score. Il existe de nombreux sites web, services et cartes de crédit sur lesquels vous pouvez consulter votre score gratuitement. Il n’est donc généralement pas nécessaire de payer les bureaux eux-mêmes pour voir votre score.
Lorsque vous recevez vos rapports de crédit d‘Experian, de TransUnion et d‘Equifax, examinez-les attentivement. Ce sont des documents longs et denses qui peuvent être accablants, surtout si vous avez un long historique de crédit. Recherchez les comptes ou les adresses que vous ne reconnaissez pas ou toute information inexacte. Assurez-vous que ce soit le cas :
  •     Tous les comptes énumérés sont des comptes que vous avez personnellement ouverts.
  •     Toutes les adresses indiquées et votre employeur sont corrects.
  •     Vos soldes et vos antécédents de crédit sont corrects.
  •     Toutes les demandes de renseignements sur le crédit proviennent de prêts ou de cartes de crédit que vous avez demandés. Les demandes de renseignements non contraignantes, qui proviennent d’offres de cartes de crédit pré-approuvées, peuvent être répertoriées. Elles n’affectent pas votre score.                    

 

Prochaine étape : Bloquez l’accès non autorisé à votre dossier de crédit par un gel du crédit.

Le gel de votre rapport de crédit est la méthode la plus efficace pour arrêter les voleurs d’identité. Cette mesure est totalement gratuite pour les trois agences et n’aura aucune incidence sur vos cartes de crédit, votre dossier de crédit ou votre cote de crédit. Vous pouvez continuer à utiliser vos cartes comme avant.

Le gel de votre dossier de crédit signifie que vous seul pouvez demander de nouvelles cartes ou de nouveaux prêts. Personne d’autre ne pourra le faire en votre nom. C’est comme si vous mettiez un cadenas sur votre rapport de crédit, et que vous étiez le seul à en avoir la clé. Vous pouvez déverrouiller (ou dégeler) votre rapport de crédit à tout moment. Par exemple, vous pouvez vouloir ouvrir une nouvelle carte de crédit. Pour ce faire, vous pouvez lever temporairement le gel, puis recongeler votre rapport de crédit par la suite.

La législation fédérale oblige les agences d’évaluation du crédit à proposer gratuitement le gel et le dégel de votre dossier de crédit. Pour geler votre dossier de crédit auprès d’Experian, TransUnion et Equifax, appelez-les directement ou faites-le sur leur site web. Il se peut qu’on vous demande de créer un code PIN ou qu’ils en génèrent un pour vous. Conservez ce code en lieu sûr, car c’est celui que vous utiliserez si vous devez débloquer votre crédit. Un gestionnaire de mots de passe est un excellent endroit pour sauvegarder vos codes PIN.

Fin de la traduction

Voilà, ce fut lourd et intense. J’espère que vous avez appris et mis en places quelques consignes de sécurité simple.
Comme expliqué plus haut, je ne vous recommande d’utiliser des logiciels libre (avec leur code source ouvert) pour être certain que le logiciel que vous utilisez est propre, qu’il fait effectivement ce qu’il dit, et qu’il est loyal avec vous : utilisateur.
Un grand merci à user et à Loula pour la relecture 🙂

Traduction de l’article « Security Tips » Bonjour. Je suis tombé récemment sur un article de Firefox Monitor expliquant la marche à suivre après une fuite de données. Les premières lignes sont en français, et le reste est en anglais. C’est dommage car plein de choses intéressantes y sont évoquées . D’ailleurs, je comptais rédiger quelques articles…

3 Comments

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *