Back To Top

Votre vie numérique est-elle en sécurité ?

 

Aujourd’hui la sécurité numérique n’est pas un luxe ou une lubie partagée par des hackers tapotant des lignes vertes incompréhensibles sur un écran noir. À moins de vivre dans une grotte, nous avons tous entendu la nécessité de protéger sa vie numérique. Nous savons tous qu’il faut installer un antivirus, qu’il faut des mots de passe complexes. Nous avons tous également connu quelqu’un qui s’est fait pirater sa boite mail.

Malgré ça, force est de constaté que les gens savent qu’il faut se protéger, mais peu le font. Il y a toujours une bonne raison de ne pas le faire. C’est compliqué, c’est long, je n’ai pas le temps ou ça n’arrive que dans les films…

Et pourtant aujourd’hui la sécurité numérique doit être une priorité absolue. Les risques sont majeurs. En effet faites-vous pirater votre boite e-mail et un pirate pourrait prendre le contrôle de votre vie. Arnaquer vos proches, vous voler de l’argent, voir dans les cas les plus extrêmes voler votre vie.

En ayant accès à votre boite e-mail personnel, un hackeur pourrait demander un changement de mot de passe de votre compte EDF ou celui de votre fournisseur mobile et internet, il pourrait récupérer des attestations de domicile, un scan de votre pièce d’identité, de votre permis de conduire. Bref il aurait accès à un ensemble de documents extrêmement confidentiel qui traine dans des pièces jointes présentes dans votre boite email.

Un fois ceci dit comment se protéger ?

 

1 – Utiliser un gestionnaire de mot de passe

 

Utiliser un gestionnaire de mot de passe est d’une nécessité absolue. Ce n’est pas facultatif.

Après en avoir fait l’acquisition, il convient de changer tous vos mots de passe. Opération longue et pénible qui peut prendre plusieurs jours, mais ô combien nécessaire.

Imaginons que vous ayez créé un compte sur un service en ligne quelconque. Imaginons maintenant que ce site se fasse pirater sa base de données. Dès lors, votre email et le mot de passe que vous avez choisi se retrouve dans la nature. Maintenant si vous avez la mauvaise habitude de réutiliser vos mots de passe, ce n’est plus le compte sur ce site qui est ouvert au pirate mais l’ensemble des comptes où vous avez utilisé ce mot de passe.

Mais si, cher lecteur, vous avez lu jusqu’ici je sais que je ne vous ai pas réellement convaincu. Donc peut être qu’une petite démo finira de vous convaincre.

Pour cette démo nous allons tester un adresse email : gma@xxxxxxxx.com (Je vais masquer l’email pour des raisons évidentes)

Nous nous rendons sur le site https://haveibeenpwned.com afin de savoir si cette adresse email est présente dans une base de données qui a été hacké :

Bingo !

Nous voyons que cette adresse email fait partie de la base de données Linkedin qui a été hackée il y a quelques temps maintenant.

Nous allons donc sur un site spécialisée pour télécharger cette base de données : 

Nous nous retrouvons donc avec un fichier texte de 11,5 Go contenant exclusivement des emails et des mots de passe.

Recherchons donc notre adresse email dans ce fichier :

Sans surprise nous découvrons une ligne qui correspond.

Nous voyons également que le mot de passe est haché. C’est-à-dire qu’il n’est pas affiché en clair.

Pour faire simple le principe de hachage est une protection utilisée par les sites web et les applications pour stocker les mots de passe de façon sécurisé. Il s’agit de passer le mot de passe en clair dans une formule mathématique pour obtenir une chaine unique, mais dont l’opération inverse est impossible. En d’autres termes, il est impossible de calculer le mot de passe depuis le hash.

Pour casser les mots de passe haché, il existe sur internet ce qu’on appelle des Rainbow Table. Ce sont des listes de mots de passe basé sur des dictionnaires pour lesquels on va calculer le hash correspondant. De ce fait grâce à ces tables on a des bases de données avec la correspondance mot de passe / hash.

Du coup il ne nous reste plus qu’à faire une recherche sur ce hash dans ces bases de données pour avoir le mot de passe en clair.

Dans cet exemple nous allons encore faire plus simple et soumettre notre hash à Google. Avec un peu de chance nous aurons quelque chose d’intéressant :

Et voilà :

Nous avons donc récupéré le mot de passe en clair pour ce compte : « eugenio »

Vous comprenez donc maintenant l’utilité d’avoir des mots de passe fort tel que :

X’(RtRgDf57vUoL !’)]458

Ce mot de passe n’a aucune chance d’être retrouvé dans une rainbow table. Mains néanmoins ce n’est pas pour autant qu’il est incassable. Donc il doit n’être utilisé que pour un unique service. Effectivement, il est possible que le service en ligne stock les mots de passe en clair. Même si cette pratique est de plus en plus rare elle existe encore.

De plus il est possible de casser des hash par simple force brut en testant toutes les combinaisons possibles. Du coup un mot de passe trop court aussi complexe soit-il n’est pas sûre.

Du coup vous comprenez l’utilité d’utilisé un gestionnaire de mot de passe pour pouvoir avoir autant de mot de passe complexe que de compte que vous possédez.

 

2 – Pour les comptes sensibles utiliser la double authentification.

 

Si le service en ligne le permet, il est indispensable également d’activer la double authentification. La plupart des services en ligne sensible le propose. Si elle est proposée, ce n’est pas une option c’est une obligation.

En effet il existe d’autre technique permettant de vous voler votre mot de passe : Le phishing, l’attaque de l’homme du milieu, des malwares, etc..

La liste des méthodes est longue comme une file d’attente à la préfecture et souvent simple à mettre en œuvre. Le meilleur moyen de s’en protéger est l’activation de la double authentification.

 

3 – Utiliser un VPN

 

Un VPN est un outil qui permet de créer un tunnel virtuel dans votre connexion internet et donc de rendre invisible les données que vous transmettez à tout individu qui voudrait vous espionner.

Quand vous vous connectez à un réseaux wifi public (A l’hôtel, dans un café etc.) passer par un VPN est également une obligation. En effet, il suffit de quelque seconde à quelqu’un de mal intentionné pour vous voler vos identifiants, vos données et prendre le contrôle de votre ordinateur ou de votre smartphone.

Ces techniques sont simples à mettre en œuvre et redoutablement dangereuses.

 

En résumé

 

Voici la liste d’hygiène numérique à adopter :

  1. Utiliser un gestionnaire de mot de passe
  2. Utiliser un VPN surtout sur les réseaux wifi publiques
  3. Ne jamais réutilisé un mot de passe
  4. Changer tous ses mots de passe par des mots de passe aléatoire et complexe

J’espère vous avoir convaincu, mais surtout j’espère que si vous n’appliquez pas encore ces bonnes pratiques, vous n’allez pas dire : Je m’en occupe demain, promis.

 

Maxence d'Espeuilles

Crédit photo : Matthew Brodeur

En savoir plus