Nous passons plus de temps en ligne ces jours-ci − à faire des achats, à appeler nos amis et notre famille par vidéo, à regarder des films en diffusion continue ou peut-être même à chercher la meilleure recette de tarte au sucre. N’oublions pas non plus les appareils intelligents connectés à l’ordinateur, comme la télévision, le téléphone, la montre, les haut-parleurs, l’assistant virtuel… Voilà de quoi susciter une foule de problèmes de sécurité potentiels.
Si seulement vous aviez votre propre expert en sécurité informatique maison pour répondre à vos questions. Puisque ce n’est pas le cas, nous en avons interrogé un pour vous : Daniel Tobok, Président et chef de la direction de Cytelligence à Toronto. Cet expert en cybersécurité et en criminalistique numérique de renommée internationale a répondu aux questions de Renaissance sur la sécurité en ligne.
Qui veut vos informations, et pourquoi?
« La plupart des gens croient encore que c’est un individu dans un sous-sol qui tente d’entrer par effraction dans vos appareils, répond M. Tobok. Dans les faits, tout est automatisé, avec la possibilité de faire des millions de calculs par jour. »
Bien qu’il existe encore quelques pirates informatiques solitaires, ce sont généralement des groupes organisés qui tentent régulièrement des attaques informatiques. (Cela est différent des
pays étrangers, comme la Chine et la Russie, qui s’engagent dans la guerre de l’information à des fins d’espionnage ou de vol de propriété intellectuelle.) Les pirates informatiques cherchent des informations personnelles (vos nom, date de naissance, adresse, numéro de téléphone, numéro d’assurance sociale, numéro de carte santé, identifiants, etc.) et financières (informations bancaires, de carte de crédit et de paiement).
Que font les pirates informatiques de ces informations?
Les cybercriminels peuvent :
- Demander des prêts ou des cartes de crédit à votre nom, effectuer des achats ou créer des cartes contrefaites
- Vendre vos informations à des entités du Web invisible ou à des sites Web clandestins seulement accessibles par des navigateurs spécialisés − ces entités tenteront alors de vous envoyer des pourriels ou de vous escroquer, ou de se livrer à une fraude d’identité
- Crypter toutes vos données et exiger une rançon pour vous les rendre
Réfléchissez à la façon de protéger ce qui vous appartient
Vous avez peut-être les serrures les plus robustes, des alarmes pour votre voiture et votre maison, et un coffre-fort pour vos bijoux. Mais il se peut que vous ne protégiez pas l’une des choses les plus précieuses que vous possédez, à savoir vos informations personnelles.
Commencez par les mots de passe. Les vôtres sont-ils infaillibles? Il est difficile de créer un mot de passe hautement sécurisé et facile à mémoriser. Voilà pourquoi beaucoup de gens se rabattent sur des termes familiers, comme les noms de famille, d’animaux de compagnie, les anniversaires de naissance ou de mariage. C’est comme cacher votre clé sous le paillasson : assez évident.
Comme le souligne M. Tobok, à peu près n’importe qui peut accéder sans trop d’efforts à vos médias sociaux et découvrir les noms de vos enfants, ou que votre chat s’appelle Ronron. Et considérez ceci : le Centre national de cybersécurité du Royaume-Uni a analysé les mots de passe ayant fait l’objet d’intrusion dans le monde entier. Parmi les dix premiers, on trouve les chiffres 12345, 123456, 1234567, 12345678 et 123456789 − vous voyez le genre. Autres mots de passe sur la liste : 111111, mot de passe et abc123. « Les mots de passe faibles représentent environ 38 pour cent de toutes les attaques contre des informations privées », explique M. Tobok.
La solution consiste à utiliser une combinaison de mots. Ou bien, adoptez une phrase ayant une signification particulière pour vous (un titre de chanson ou de film, par exemple) et n’en utilisez que les initiales pour que le résultat ne soit pas un mot courant. Utilisez des lettres majuscules et minuscules, et ajoutez un chiffre ou un symbole, comme un point d’exclamation.
Les robots de recherche − des applications logicielles qui exécutent des tâches automatisées maintes et maintes fois − peuvent essayer des milliers de combinaisons par seconde, en utilisant chaque mot du dictionnaire et pratiquement chaque prénom. Et même si vous ne pouvez pas empêcher le déchiffrage de votre mot de passe, vous pouvez le rendre plus difficile. Et ça en vaut la peine.
« Les pirates informatiques tiennent compte du temps qu’ils veulent consacrer au déchiffrage; peut-être 10 minutes par compte, explique M. Tobok. Un mot de passe comportant des symboles, des chiffres, des majuscules et toutes leurs variations complique de beaucoup la lecture du robot de recherche. La sécurité de votre mot de passe dépend du temps qu’il faudra au pirate informatique pour le découvrir. »
Avouons-le : il est difficile, voire impossible, de se souvenir d’un grand nombre de mots de passe. C’est pourquoi beaucoup de gens utilisent les mêmes (ou un mot de passe principal avec des variations mineures) sur plusieurs appareils et comptes. Ne faites pas cela. Le problème est évident : si un pirate informatique met la main sur votre seul et unique mot de passe, vous venez de lui donner accès à tout ce qui vous appartient. Voilà une raison supplémentaire de ne pas utiliser les mêmes mots de passe que ceux de vos proches, comme votre conjoint ou votre enfant.
Les mots de passe faibles représentent environ 38 pour cent de toutes les attaques contre des informations privées.
Organisez vos mots de passe Alors, vos mots de passe sont sécuritaires? C’est très bien. Mais comment vous souvenir de tous ceux que vous avez accumulés? Une solution : un gestionnaire de mots de passe. Ce « coffre-fort virtuel » stocke tous vos mots de passe et noms d’utilisateur; il peut faire partie de votre système d’exploitation ou d’une application téléchargée.
Vous pouvez également stocker vos mots de passe dans l’application Notes de votre téléphone, ou si vous préférez une solution plus conventionnelle, sur papier. « Le papier est plus sûr que l’électronique », indique M. Tobok. Mais ne le conservez pas dans votre portefeuille. M. Tobok ajoute que vous pouvez aussi stocker cette liste maîtresse sur votre ordinateur dans un fichier PDF, qu’il est difficile de décrypter.
Le papier est plus sûr que l’électronique.
Renforcer la sécurité, une couche à la fois
La protection de vos mots de passe est absolument essentielle, mais n’est pas la seule considération cybernétique. Une autre mesure de sécurité que vous pouvez ajouter s’appelle « l’authentification multifactorielle ». Il s’agit d’un niveau de sécurité additionnel, comme si vous deviez présenter deux pièces d’identité. En d’autres mots, vous devez utiliser plus d’une façon pour vous connecter ou accéder à quelque chose, comme votre code de verrouillage plus une empreinte digitale sur votre téléphone intelligent.
M. Tobok considère que l’authentification multifactorielle est une étape de sécurité essentielle. « Ne pas y recourir augmente d’environ 90 pour cent le risque de subir un problème, expliquet- il. Chaque fois qu’un site ou un appareil vous recommande une authentification multifactorielle, acceptez-la. »
Attention au Wi-Fi public
Supposons que vous faites des courses et que vous constatez soudain que votre facture de carte Visa est due. Vous entrez dans le café du coin, commandez un cappuccino et utilisez le Wi-Fi du lieu pour vous connecter à votre compte bancaire, effectuer des virements et régler votre solde. Voilà. Une corvée de moins à faire de retour à la maison, n’est-ce pas?
« Mauvaise idée, dit M. Tobok. N’utilisez pas le Wi-Fi public pour des transactions bancaires en ligne ou toute autre opération confidentielle, car il y a de fortes chances que le commerce qui vous offre gratuitement le Wi-Fi n’utilise pas les mesures de sécurité les plus strictes. »
Si vous voulez économiser sur vos données en utilisant le Wi-Fi public pour regarder du sport en continu ou un clip sur YouTube, allez-y. Mais soyez conscient que les autres activités en ligne peuvent être facilement compromises. M. Tobok ajoute que vous pourriez rencontrer des options de Wi-Fi malveillantes qui semblent légitimes, mais ne le sont pas − le nom peut être presque identique à une option sûre et avoir l’air officiel, mais il est conçu par des fraudeurs pour voler vos informations.
Logiciel antivirus : Ça en vaut la peine?
On pourrait penser qu’un logiciel antivirus est indispensable, n’est-ce pas? « Eh bien, oui et non, répond M. Tobok. Ces outils sont conçus pour détecter les signatures de logiciels malveillants et pour empêcher ces derniers de pénétrer dans votre système, mais de nombreux pirates informatiques ont recours à des virus sans signature pour réussir à s’infiltrer. »
Selon M. Tobok, les logiciels antivirus populaires comme Kaspersky et McAfee font leur travail. Ils peuvent s’avérer utiles lorsque vous surfez sur des sites Web louches ou cliquez sur des fenêtres contextuelles. Mais attention au faux sentiment de sécurité. Un logiciel antivirus est mieux que rien, mais il ne vous protégera pas complètement.
Chut! Pas devant Alexa
Vous parlez à un ami d’un voyage à Vancouver, ou de la télé haute définition de 85 pouces sur votre liste de cadeaux. Puis, la fois suivante où vous allez en ligne, vous voyez une publicité pour un hôtel de Vancouver ou une promotion spéciale pour ladite télévision. Coïncidence?
Même si les algorithmes peuvent prédire ce qui nous intéresse, M. Tobok affirme qu’il n’est pas insensé de supposer que nos téléphones intelligents nous écoutent. Quelqu’un peut-il vous espionner via votre iPhone? Devriez-vous éteindre vos appareils lorsque vous avez des conversations face à face délicates? « Je le crois », soutient M. Tobok.
Les mêmes conseils s’appliquent-ils aux technologies comme Amazon Alexa, Amazon Echo et Google Assistant? « Ces outils répondent à nos demandes et, grâce à l’apprentissage machine, commencent à comprendre nos habitudes, dit-il. Contrairement à l’aspirateur que vous allumez et éteignez pour nettoyer les tapis, ces appareils sont en fonction 24 heures sur 24, 7 jours sur 7. Votre vie privée et vos préférences sont exposées. »
Vous pensez peut-être n’avoir rien à cacher, mais que diriez-vous si quelqu’un fouillait dans vos poubelles et y trouvait des reçus pour des médicaments ou une note que vous avez écrite? « Si vous pensez que c’est acceptable, alors laissez Alexa en fonction, conseille M. Tobok. Mais je crois que ça devrait nous inquiéter un peu. »
Toujours pas convaincu? L’an dernier, le magazine Forbes a rapporté que des chercheurs universitaires de Tokyo et du Michigan avaient découvert qu’ils pouvaient pirater des assistants virtuels en pointant un laser sur eux, même à longue distance. La lumière imite essentiellement une voix et fait que les assistants exécutent les ordres.
Voilà le problème : cette recherche était soutenue par la Defense Advanced Research Projects Agency (DARPA) aux États-Unis, mieux connue comme le bras de recherche du Pentagone. Cela veut-il dire que « Big Brother » nous surveille? Probablement. Ce n’est pas parce que vous êtes obsédé par la sécurité que personne ne vous veut du mal.
Comme à la pêche – différents « hameçons »
Les cybercriminels aiment vous attraper avec une tactique appelée « hameçonnage » afin d’obtenir vos informations personnelles ou financières. Ne soyez pas le poisson! Voici ce que vous devez savoir sur l’hameçonnage et ses variantes.
- Hameçonnage (Phishing) : toute tentative de voler vos informations par différents moyens. Les messages d’hameçonnage peuvent être des courriels, des textos, des messages directs sur les médias sociaux ou des appels téléphoniques. Ces communications paraissent honnêtes, mais les entités derrière ne le sont pas.
- Hameçonnage par texto (Smishing) : une tentative d’hameçonnage par texto (ou SMS, ou message texte).
- Harponnage (Spear phishing) : aussi appelé hameçonnage ciblé, dans lequel le message semble provenir d’une source que vous connaissez. Un message très populaire : l’expéditeur vous demande de le dépanner en lui achetant des cartes-cadeaux.
- Chasse ou pêche à la baleine, ou encore harponnage de cadre supérieur (Whaling) : une tentative d’hameçonnage contre une personne occupant un poste de haut niveau, comme un cadre d’entreprise ou un fonctionnaire.
- Arnaque (Spoofing) : utilisation d’un faux site Web pour vous amener à révéler vos informations personnelles. Ce site peut sembler légitime, mais il est faux.
Il n’existe pas de moyen infaillible de mettre fin aux tentatives d’hameçonnage. Vous devez donc être très prudent pour éviter de vous faire arnaquer. En premier lieu, chaque fois que l’on vous demande de fournir des informations, vérifiez en cas de soupçons. Par exemple, votre institution financière ne vous demandera jamais de communiquer les détails de votre compte par courriel. Si vous recevez ce genre de requête, appelez votre banque.
Ensuite, ne cliquez pas sur les liens ou n’ouvrez pas les pièces jointes si vous n’êtes pas certain de l’expéditeur. Regardez bien le nom sur un courriel ou un site Web. Il peut sembler correct, mais être un peu décalé : il y a peut-être une légère différence dans l’orthographe, l’URL ou le domaine de l’adresse.
Enfin, ne répondez pas aux messages de menace, comme ceux qui prétendent provenir de l’Agence du revenu du Canada ou d’une autre organisation gouvernementale, ni aux offres trop bonnes pour être vraies, comme celles vous offrant un voyage gratuit.
L’hameçonnage devient de plus en plus sophistiqué, alors vous devez être davantage aux aguets. En cas de doute, à la poubelle!
7 façons d’assurer sa cybersécurité en voyage
En voyage, vous prenez toutes sortes de précautions pour protéger votre argent et vos objets de valeur. Et vos informations? Le gouvernement du Canada partage ces conseils pour rester en sécurité lorsque vous partez en vacances.
- Avant votre départ, sauvegardez les fichiers de vos appareils sur un programme de sauvegarde virtuel ou autre.
- Méfiez-vous de l’utilisation du Wi-Fi public dans les hôtels, les aéroports et les cafés. Ces réseaux sont très peu sécurisés et accessibles à tous. Évitez à tout le moins de transmettre toute information que vous ne voudriez pas voir interceptée ou divulguée.
- Faites preuve de la même prudence si vous utilisez des ordinateurs partagés ou publics. Ils peuvent avoir des enregistreurs de frappe (keyloggers), c’est-à-dire des applications ou des appareils qui capturent toutes les informations que vous saisissez.
- La vigilance est de mise si vous autorisez l’accès d’utilisateurs ou d’applications à vos appareils via Bluetooth. Selon les avertissements du gouvernement, « Si la connexion est automatique, d’autres appareils risquent d’établir une communication avec le vôtre sans autorisation ». Désactivez le réseau Bluetooth pendant vos déplacements pour empêcher toute tentative de communication non désirée.
- Évitez de connecter vos ordinateurs ou périphériques à un appareil que vous ne pouvez contrôler, comme les stations d’accueil dans les hôtels.
- Munissez-vous des logiciels, du matériel et des supports d’enregistrement dont vous aurez besoin pour ne pas devoir les acheter en voyage.
- Votre appareil peut disposer d’une option qui supprime vos données si un mot de passe est mal saisi après un certain nombre de fois. Envisagez de l’activer − de cette façon, si votre appareil est égaré ou volé, vos pertes pourraient être limitées.
Pour la liste complète, voir voyage.gc.ca/voyager/santé-sécurité/cyber-sécurité.
se débarrasser des vieilles technologies
- Transférez les fichiers vers votre nouvel ordinateur, un programme de sauvegarde virtuel (sur le nuage), ou un périphérique de stockage externe.
- Sur l’appareil mis au rebut, déconnectez-vous de vos comptes en ligne. Mettez fin aussi au couplage d’ordinateur avec les appareils Bluetooth (comme la souris, le clavier ou l’écran).
- Envoyer des fichiers à la poubelle numérique n’est pas suffisant. Effacez votre disque dur et réinitialisez-le aux paramètres d’usine, ce qui rend vos données inaccessibles.
- Pour vous assurer que personne ne peut accéder aux données de votre carte mémoire ou de votre carte SIM, soyez minutieux au moment de la mise au rebut. Déchiquetez-la, écrasez-la, mettez-la en pièces ou détruisez-la de toute autre manière.
