Pourquoi est-il si difficile de protéger ses renseignements personnels?
Les bulletins de nouvelles débordent d’horribles histoires de fuites de données, de vols d’identité, d’attaques de rançongiciels et d’exploitations malveillantes qui remontent du sordide Web profond. Aujourd’hui, la plupart des gens savent qu’Internet peut être dangereux. Mais alors, pourquoi est-il encore si difficile de protéger ses renseignements personnels et confidentiels? C’est toute une question.
Qu’est-ce qui est considéré comme un renseignement personnel?
Pour bien comprendre le problème, il faut d’abord savoir précisément ce qu’on entend par renseignements personnels et ce qu’en font les pirates informatiques lorsqu’ils mettent (virtuellement) la main dessus. Il s’agit de toute donnée qui se rapporte directement à vous ou à votre identité. Puisqu’il est assez facile d’obtenir l’information rendue publique (numéro de téléphone, adresse électronique ou postale, employeur), il est le plus souvent question de mots de passe, de renseignements bancaires ainsi que de numéros de cartes de crédit, d’assurance sociale et de passeport. En combinant ces renseignements à l’information publique mentionnée, les pirates accèdent à une vraie mine d’or de données qui peuvent leur rapporter une jolie somme sur le Web profond. C’est alors que se produisent les vols d’identité et le piratage de comptes en ligne.
Comment les pirates obtiennent-ils ces renseignements?
Il y a quelques façons d’obtenir des renseignements personnels. L’hameçonnage est l’une des techniques les plus courantes. Un site frauduleux copie l’apparence d’un autre pour inciter les gens à tenter de se connecter. Ensuite, les pirates utilisent les noms d’utilisateurs et les mots de passe ainsi récoltés pour essayer de se connecter à d’autres sites, comme des sites d’opérations bancaires. Cela est très problématique pour plusieurs, car il n’est pas rare qu’une personne utilise le même mot de passe pour plusieurs sites, ce qui pose un gros risque de sécurité.
Les mots de passe trop simples représentent un autre danger. Pour économiser du temps, bon nombre d’utilisateurs choisissent des mots de passe simples et faibles, certes faciles à mémoriser (motdepasse123, par exemple), mais tout aussi faciles à déchiffrer pour les pirates.
Des renseignements personnels sont aussi vendus sur le Web profond après de grosses fuites de données, comme celles qui ont touché Facebook, Yahoo, Kickstarter et Target. Elles sont souvent dues à une faille de sécurité, mais elles sont parfois simplement attribuables à une erreur humaine.
Les services des TI font leur possible pour contrer fuites et failles, mais la technologie ne peut pas faire de miracles. Pour que les renseignements personnels d’une organisation soient en sécurité, ses employés doivent bien comprendre et appliquer les pratiques exemplaires de sécurité.
Comment peut-on se protéger?
Malgré les attaques du jour zéro (des cyberattaques qui ont lieu avant ou pendant la découverte d’une faille) et les cybercriminels fort intelligents, vous pouvez protéger vos renseignements personnels. Voici cinq façons d’y arriver.
1. Déterminer si ses noms d’utilisateurs et mots de passe sont compromis
Ce n’est peut-être pas très agréable à lire, mais il est fort possible que vous ayez déjà été victime d’une fuite de données. Des sites comme Haveibeenpwned peuvent vous aider à déterminer si tel est le cas. Il existe également plusieurs services qui fouillent constamment le Web profond en quête de vos identifiants. Si vous constatez que vos renseignements s’y trouvent, il vaut mieux changer vos mots de passe sur-le-champ.
2. Faire toutes les mises à jour logicielles
Les mises à jour logicielles contiennent parfois des correctifs pour les failles de sécurité. Ainsi, en utilisant toujours la dernière version de vos logiciels (système d’exploitation, antivirus, etc.), vous protégez vos renseignements et pourriez même être à l’abri des attaques du jour zéro si vous faites des mises à jour assez fréquentes.
3. Activer l’authentification forte
L’authentification forte ou multifacteur est l’une des meilleures protections contre les mots de passe vulnérables, car elle ajoute une seconde étape d’authentification pour accéder à un compte. Il peut s’agir d’un code reçu par texto, d’une application mobile d’authentification ou d’une technologie plus avancée comme la reconnaissance faciale ou des empreintes digitales. Cette méthode améliore grandement la sécurité, tout en facilitant la vie des employés.
4. Utiliser un gestionnaire de mots de passe
Nous savons tous qu’il vaut mieux choisir un mot de passe différent pour chaque site. Toutefois, pour en retenir des dizaines, voire des centaines, il faut une mémoire photographique… ou beaucoup de notes autocollantes! C’est pour cela que des services comme LastPass et 1Password existent. Ce sont des modules d’extension pour navigateurs qui génèrent des mots de passe uniques pour chaque site, les gardent en mémoire en toute sécurité et peuvent ensuite remplir automatiquement les champs de mots de passe à la connexion. Il suffit donc de retenir un seul bon mot de passe compliqué pour accéder au gestionnaire, et la plupart de ces services offrent une option d’authentification forte.
5. Rester informé
Puisque l’hameçonnage est l’une des techniques les plus utilisées par les cybercriminels pour accéder à un système ou obtenir des identifiants, assurez-vous que tous les employés de l’entreprise savent reconnaître les courriels d’hameçonnage. La petite vidéo ci-dessous explique en détail ce dont il s’agit et vous enseigne à repérer et éviter ces attaques.
Il ne sera jamais facile de protéger ses renseignements personnels en ligne, mais il y aura toujours des moyens de se tenir au courant des dernières menaces. N’oubliez pas de suivre les conseils et les astuces ci-dessus pour que vos renseignements personnels demeurent personnels.