Protéger son identité dans un désordre numérique croissant

Protéger son identité dans un désordre numérique croissant

Les objectifs, les victimes et les techniques des attaquants sont loin d’être homogènes, et cette incertitude ne cesse de croître, dans la mesure où les acteurs malveillants profitent du chaos provoqué par le COVID-19 pour voler toutes les données sur lesquelles ils peuvent mettre la main. Ceci étant, la certitude qui demeure est que le vol et l’utilisation abusive d’informations d’identification sur internet constituent près de 81 % des violations perpétrées par des pirates informatiques, ce qui en fait l’une des attaques les plus courantes au monde. 

Les clés du château 

Une fois qu’un cybercriminel détient les informations d’authentification d’une personne, il dispose des outils qui lui permettent de déverrouiller l’intégralité de l’identité numérique de sa victime. Mais alors, si le préjudice potentiel est si lourd, pourquoi ces informations sont-elles si faciles à voler ? 

Des mots de passe faibles

Les attaquants essaient des mots de passe courants accompagnés de noms d’utilisateur spécifiques ou communs, et cette méthode peut se révéler étonnamment efficace. Malheureusement, la plupart des individus éprouvent des difficultés à créer ou à mémoriser des mots de passe forts. Par conséquent, ils choisissent souvent des mots de passe faibles qu’ils modifient rarement ou bien qui sont extrêmement simples.

Réutilisation abusive de mots de passe : Les attaquants récupèrent régulièrement des informations d’identification volées sur un site et les saisissent sur une autre plateforme, car il est très courant que les individus utilisent la même combinaison de nom d’utilisateur et de mot de passe, ou une variante, sur plusieurs sites. Ainsi, plus de 44 millions de titulaires de comptes Microsoft utiliseraient des mots de passe recyclés. Ce problème se voit encore aggravé par le nombre important d’informations d’identification volées qui sont disponibles à la vente sur le dark web.

Attaques de type « man-in-the-middle » (MitM) : Parfois, les attaquants ont accès au chemin réseau qui relie l’ordinateur de leur victime au site auquel ils accèdent. Le cybercriminel peut ainsi visualiser les sites auxquels une personne accède et voler ses données si la connexion n’est pas chiffrée ou si la victime pense que le système ou le site malveillant est légitime.

Phishing 

Le phishing a généralement recours à des prétextes pour convaincre une personne de divulguer directement ses informations d’identification ou de se rendre sur un site qui agit de la même manière. Les attaquants opèrent selon différentes méthodes : vérification par SMS, email, téléphone, messages instantanés, réseaux sociaux, sites de rencontre, courrier physique ou tout autre moyen disponible. 

publicité

Exploitation de la récupération de compte : Malheureusement, les flux de récupération de comptes peuvent se révéler nettement plus faibles que le principal canal d’authentification. Il arrive souvent, par exemple, que les entreprises qui déploient des solutions d’authentification forte à deux facteurs (2FA) comme méthode principale décident de garder les SMS comme solution de secours. De même, les organisations se contentent parfois de confier au personnel du helpdesk la réinitialisation des informations d’identification ou la création de codes de contournement temporaires sur un simple coup de téléphone, sans aucune vérification d’identité.

Défendre son domaine 

Dès lors qu’une personne est en mesure de reconnaître ces méthodes de vol d’identité, elle peut commencer à identifier les techniques utilisées par les acteurs malveillants pour accéder facilement à votre identité numérique. Voici quelques mesures simples à envisager pour contrecarrer ces tentatives de vol d’informations d’identification :   

Gérer ses mots de passe de manière adéquate

Il est important de se montrer aussi vigilant que possible lors de la création de mots de passe forts et de leur gestion sécurisée. Dans l’idéal, les mots de passe forts devraient être générés de manière aléatoire. Quoiqu’il en soit, il est important d’éviter d’utiliser des informations sur soi-même ou sur ses amis et sa famille, comme les anniversaires, les équipes sportives, les noms d’animaux domestiques, etc. La réutilisation des mots de passe d’un site à l’autre est également à bannir. Avec cette approche, un gestionnaire de mots de passe pour générer et stocker les mots de passe en toute sécurité est un outil essentiel.  

 
Utiliser l’authentification à deux facteurs (2FA)

Même les noms d’utilisateur et les mots de passe les plus forts sont vulnérables à la compromission. Pour éviter cela, il faut systématiquement activer la fonction 2FA lorsque c’est possible afin de s’assurer qu’une autre forme d’identification — en plus du nom d’utilisateur et du mot de passe — est exigée pour accéder à son compte. Dans tous les cas, il est important d’éviter de choisir les codes SMS comme deuxième forme d’authentification, jugés inefficaces. Bien que certains services nécessitent l’utilisation de SMS pour la configuration initiale de la 2FA, il est possible de choisir de désactiver les SMS après avoir configuré d’autres facteurs, tels que les clés de sécurité.

Vérifier avant de cliquer

Pour se protéger contre le phishing, il est nécessaire de vérifier la légitimité d’un email en se posant les questions suivantes : l’adresse email de l’expéditeur est-elle connue ? Le message contient-il des fautes d’orthographe ? Le lien ou la pièce jointe sont-ils pertinents ? En ce qui concerne les sites web et les liens, la présence d’un « HTTPS » indique que la page web est sécurisée et que l’on peut s’y fier avant de saisir toute information sensible. Le HTTPS sera indiqué dans l’URL elle-même et la barre affichera également un cadenas synonyme de « sécurisé ». En outre, aucun email provenant de banques ne contient un lien de réinitialisation de mot de passe ; raison pour laquelle il faut toujours passer par une application officielle de services bancaires mobiles ou aller directement sur le site web de la banque.

Se méfier des réseaux 

Le Wi-Fi public n’est pas considéré comme un réseau sécurisé, et il permet donc aux cybercriminels de voler plus facilement des informations ou de lancer des attaques malveillantes. En cas de connexion au Wi-Fi public, il faut rester sur des sites qui ne traitent pas d’informations sensibles. Dans la mesure du possible, les utilisateurs doivent éviter le Wi-Fi public et avoir recours à d’autres solutions telles qu’un hotspot personnel sécurisé ou une solution VPN qui empêche les cybercriminels de déterminer une identité ou un emplacement. Cependant, à mesure que le monde entier se familiarise avec le travail à distance, de plus en plus de personnes utilisent un VPN pour accéder au réseau de leur entreprise, ce qui les met à rude épreuve. Il est également possible de sécuriser l’accès au VPN avec la MFA afin de garantir la protection des données personnelles et de celles de l’entreprise. 

Ne pas divulguer d’informations sensibles

Tout élément d’information peut faciliter le travail d’un pirate informatique. Cela peut paraître évident, mais à l’ère des réseaux sociaux, il faut impérativement éviter de mettre sur son profil public des informations qui ne seraient pas communiquées à un étranger. En raison de la pandémie de COVID-19, de plus en plus de personnes travaillent régulièrement à distance. La tentation est donc plus forte de poster des informations personnelles pour garder le contact avec des collègues, par exemple.

Développer sa routine numérique 

C’est en se dotant des outils adéquats qu’il est possible de protéger son identité numérique ; mais il est également important de se tenir au courant des dernières évolutions ou attaques. Les principales violations de données sont généralement rapportées dans les médias. Ceux-ci constituent donc souvent un bon moyen de rester au courant de toute attaque qui aurait pu compromettre ses informations personnelles.

En cas de suspicion d’attaque ou bien de compromission avérée, il faut immédiatement modifier tous ses mots de passe et s’assurer ensuite de mettre en place les mesures de sécurité nécessaires dans sa routine digitale quotidienne afin de garantir la protection maximale de son identité.

Leave a Reply

Your email address will not be published. Required fields are marked *