La cybercriminalité est le premier type de fraude auquel sont confrontées les PME (La Fraude, oui même chez les PME). David Boisseleau, Consultant Sécurité Informatique, Expert Protection des données (RGPD), Cryptographie, Architecte Sécurité, DPO Adjoint avec plus de 19 ans d’expériences dans ces domaines, nous explique les simples gestes qui peuvent nous éviter l’usurpation de nos comptes.
On est beaucoup confronté à l’usurpation de comptes, l’attaque par force brute de mot de passe de compte, ça c’est la plaie. Pourquoi ? Parce la plupart des gens n’appliquent pas les règles de sécurité de base sur leurs outils informatiques.
Aujourd’hui le Graal, pour un pirate, c’est de contrôler le compte email d’une personne (gmail, etc…) parce que l’on sait pertinemment qu’une large majorité de gens utilisent ce même compte email comme login et/ou adresse de récupération pour tous les autres comptes Web sans activer les options de double authentification.
Une fois qu’un pirate maîtrise ce compte email il peut tenter les procédures de réinitialisation de mot de passe sur tous les autres comptes Web potentiels utilisant le même email comme login, et notamment celui des réseaux sociaux. Il peut ainsi réinitialiser les mots de passe de tous ces autres comptes. Une fois les mots de passe réinitialisés (et donc inconnus du propriétaire du compte), la reprise de contrôle sur ces comptes va être extrêmement difficile et laborieuse.
C’est un grand classique, et ça touche à l’usurpation de compte, car les pirates vont ensuite se servir de ces comptes pour mener des opérations frauduleuses. Par exemple, usurper un compte d’un client d’une société de commerce électronique qui a des moyens de paiement enregistrés dans son e-compte, permet de faire des achats en son nom et de les faire livrer ailleurs.
Voici les 5 gestes que tout entrepreneur doit suivre pour éviter ce type de situation désagréable :
1. Utiliser un mot de passe et login différent pour chaque compte web :
Utiliser pour cela des alias de votre email principal en identifiant le site sur lequel il sera utilisé. Exemple : facebook@boisseleau.com pour Facebook. Cette technique a pour avantage que si vous recevez du spam sur cet alias, vous saurez quel opérateur a transmis votre email (et donc potentiellement toutes vos données à caractère personnel) à des tiers. Ce qui dans le cadre du RGPD vous donne des moyens de recours éventuels si vous n’aviez pas donné votre accord libre, spécifique, éclairé et univoque par une déclaration ou par un acte positif clair (référence : RGPD, Article 4.11).
2. Utiliser des mots de passe forts :
Un mot de passe fort contient plusieurs lettres, majuscules, minuscules, chiffres et caractères spéciaux, longueur minimale de 12 caractères, aucun mot, expression ou nombre en rapport direct avec la personne concernée (mot de passe totalement décorrélé d’informations personnelles facilement devinables).
L'alternative combinant les avantages sécurité et ergonomie : une phrase de 6 mots minimum sans sens réel avec respect de la casse et ponctuation, agrémentée de quelques caractères spéciaux et/ou chiffres. Exemple : « Les @39 exigences des hérissons bulgares. ». Facile à retenir (phrase) et très difficile à casser (longueur et complexité combinés). Eviter les substitutions classiques du type a->@, l->1, o->0 qui sont parfaitement connues des pirates et totalement intégrées (avec toutes leurs variantes) dans leurs logiciels de construction de dictionnaires.
3. Renouveler régulièrement les mots de passe :
La bonne pratique est de la faire tous les 3 mois.
4. Activer les mécanismes de double authentification :
Préférer la méthode basée sur une application de TOTP comme Google Authenticator plutôt que par SMS (potentiellement piratable par simple connaissance du numéro de téléphone).
5. Stocker vos informations de connexions dans un logiciel de stockage chiffré local (par sur le Web) :
La recommandation : Keepass. Pourquoi pas sur le Web ? Car il faut savoir que toute information stockée dans le Cloud (Internet) sera copiée, dupliquée et stockée dans le but de déchiffrer ces données quand les moyens techniques le permettront grâce en particulier à l’informatique quantique (horizon 5 à 10 ans). Donc pour des secrets dont la durée de vie doit être supérieure à 5 ans, le stockage sur Internet est à proscrire. Cette appréciation alarmiste est évidement à nuancer en fonction de la confidentialité des données concernées et de leur durée de validité (approche de la sécurité par les risques).
d.boisseleau@secureack.fr
06 29 53 96 57