La sécurisation de l’accès à vos comptes est essentielle pour vous protéger contre le piratage et l’usurpation d’identité. Si vous souhaitez renforcer votre sécurité en ligne mais ne savez pas par où commencer, voici quelques conseils simples à appliquer tout de suite.
Des mots de passe uniques, solides, et stockés de manière sécurisée
- Optez pour des mots de passe uniques. Dans son cours sur les mots de passe, la plateforme Totem souligne l’importance de créer un mot de passe unique et solide pour chaque compte ou service. N’oubliez pas vos différents comptes: vos emails, vos réseaux sociaux, les services bancaires, les dépenses ménagères comme l’électricité et le chauffage, les cartes de crédit, l’assurance maladie ou les abonnements, par exemple. Si la tâche vous semble ardue, vous pouvez commencer par vous assurer que vos comptes les plus sensibles (votre courrier électronique, vos finances, vos réseaux sociaux) ont des mots de passe uniques et nouveaux.
- Créez des mots de passe difficiles. Si l’on suit les exigences de nombreux sites web, un mot de passe fort comporte au moins seize caractères et doit contenir un mélange de lettres majuscules et minuscules, de symboles et de chiffres. Vous aurez peut-être envie d’utiliser des noms et des lieux familiers dans vos mots de passe. N’en faites rien! L’organisation de protection de l’information Nothing2Hide suggère de créer des phrases de passe. Vous pouvez aussi utiliser un générateur de mots de passe (comme ce générateur de mot de passe sécurisé) ou téléchargez un gestionnaire de mots de passe. Pour savoir si votre mot de passe est assez robuste, consultez ce site.
- Utilisez un gestionnaire de mots de passe sécurisé. Les gestionnaires de mots de passe permettent de générer des mots de passe aléatoires et hautement sécurisés et de les conserver en toute sécurité afin que votre cerveau n’ait pas à le faire. Les applications mobiles et les extensions de navigateur web simplifient l’ensemble du processus, en remplissant automatiquement les noms d’utilisateur et les mots de passe une fois que vous vous connectez. Il est normal d’avoir des réticences à l’idée de stocker tous vos mots de passe au même endroit. Tous les gestionnaires de mots de passe ne se valent pas. Les bons gestionnaires de mots de passe cryptent vos mots de passe. Ainsi, même si l’entreprise est victime d’une faille de sécurité, vos mots de passe resteront illisibles. Bitwarden a une version gratuite. 1Password est payant mais propose des comptes gratuits pour les journalistes – voici un article qui peut vous aider à faire votre choix.
- Partagez vos accès de manière sécurisée. Pour réduire les risques liés au partage de vos accès à certains réseaux sociaux, vous pouvez installer et utiliser l’application TweetDeck. Elle permet d’ajouter des utilisateurs à vos comptes et de leur accorder la possibilité de publier avec vos identités sans avoir accès à vos mots de passe.
2FA et réponses de sécurité: deux protections valent mieux qu’une
- Utilisez l’authentification à deux facteurs (2FA) autant que possible. Les emails, les réseaux sociaux et les autres sites qui nécessitent une connexion offrent généralement la possibilité d’activer l’authentification à deux facteurs. Il s’agit d’une couche de sécurité supplémentaire qui vous oblige à récupérer un code ou à confirmer l’accès à partir d’un appareil secondaire avant de vous connecter à votre compte. Si quelqu’un essaie de se connecter à votre compte, il ne pourra pas terminer l’authentification sans avoir accès à votre second appareil – à savoir, dans la plupart des cas, votre téléphone portable. Pour éviter les risques de détournement de la carte SIM (voir ci-dessous), utilisez une application d’authentification telle que Google Authenticator ou Authy, plutôt que votre numéro de téléphone portable.
- Inventez des réponses aux questions de sécurité. De nombreux sites vous demandent de créer une question de sécurité en cas d’oubli de votre mot de passe. Les questions ont tendance à être simples et personnelles, ce qui signifie que leurs réponses peuvent être facilement trouvées par un hacker à l’aide d’une recherche Google. Essayez de rendre vos réponses à ces questions difficiles, ou choisissez une question dont la réponse ne peut être trouvée sur Google. L’organisation Electronic Frontier Foundation (EFF) recommande d’utiliser une réponse générée de manière aléatoire. Vous pouvez aussi enregistrer les réponses aux questions de sécurité dans votre gestionnaire de mots de passe si vous craignez de les oublier.
Phishing et piratage: comment s’en protéger au maximum
- Pensez à verrouiller votre ordinateur ou votre téléphone. Même si vous quittez votre poste de travail quelques instants, déconnectez-vous de votre session.
- Vérifiez si vos comptes ont été compromis lors d’un vol de données. Si l’entreprise qui fournit le produit ou le service auquel vous avez souscrit subit un vol de données, votre mot de passe peut être compromis et vos informations divulguées sur le web. Rendez-vous sur haveibeenpwned.com, saisissez les adresses électroniques que vous utilisez et vérifiez si vos données ont été compromises. Si c’est le cas, vous pourrez voir quels comptes ont été piratés. Vous devrez alors changer immédiatement les mots de passe de ces comptes et ne plus jamais les utiliser.
- Faites attention au détournement de la carte SIM. Il est extrêmement simple pour les pirates de contourner l’authentification multifactorielle pour accéder à vos comptes de messagerie et de réseaux sociaux. Les pirates peuvent appeler votre opérateur de téléphonie mobile en se faisant passer pour vous, expliquer que vous avez « perdu » votre carte SIM, puis demander que votre ligne téléphonique soit transférée vers une nouvelle carte SIM (entre les mains du pirate). Si votre téléphone portable est lié à vos comptes, notamment en tant que mécanisme d’authentification à deux facteurs, le pirate peut alors accéder à vos comptes et réinitialiser tous vos mots de passe. Pour vous protéger, le mieux est de ne pas utiliser la carte SIM pour l’authentification à deux facteurs, mais un outil tiers comme Google Authenticator ou Authy par exemple.
- Méfiez-vous du spam et du phishing (hameçonnage). Soyez prudent(e) lorsque vous ouvrez des messages inattendus ou non sollicités (reçus via email, WhatsApp, SMS…) et n’ouvrez pas de pièces jointes ou de liens non sollicités sans avoir vérifié au préalable l’identité de l’expéditeur. Même si vous connaissez l’expéditeur, vérifiez bien que son email est le bon. Si vous recevez un email de la part d’un(e) ami(e) contenant une pièce jointe ou un lien que vous n’attendiez pas, il est préférable d’envoyer un texto ou de passer un coup de fil rapide à la personne pour s’assurer qu’elle vous a bien fait parvenir ce mail. Apprenez à détecter les tentatives d’hameçonnage en suivant ce test en ligne.
- Demandez à votre entreprise, votre université ou aux organisations auxquelles vous êtes affilié(e)s qu’elles ne partagent pas vos coordonnées dans leurs annuaires en ligne. Consultez les Directives pour parler aux employeurs et aux contacts professionnels de ce Manuel si vous souhaitez obtenir des conseils pour discuter du harcèlement en ligne dans un cadre professionnel.
Si vous souhaitez approfondir ces connaissances, consultez Security Planner de Consumer Reports et Cyber Security Toolkit for Journalists de la Global Cyber Alliance [en anglais]. Le guide d’autodéfense contre la surveillance d’Electronic Frontier Foundation constitue également une référence. Vous pouvez aussi consulter en français le Guide de Protection Numérique de Nothing2Hide et lire les recommendations de Reporters sans frontières pour les journalistes potentiellement « mouchardés » par Pegasus.
Les conseils ci-dessus ont été élaborés en consultation avec des expert(e)s en cybersécurité de PEN America et de la Freedom of the Press Foundation.