« Mon compte de messagerie Google a récemment été piraté alors que j’étais en vacances en Slovaquie. Le pirate a déclaré que j’avais été volé sous la menace d’une arme en Espagne et volé, puis a demandé aux gens d’envoyer de l’argent sur un compte de transfert d’argent en Espagne « , a lu l’e-mail arrivé cette semaine. « Cela est arrivé à d’autres personnes, je crois. »
Il a certainement: c’est la haute saison pour les personnes qui voient leurs comptes piratés, principalement parce que beaucoup voyagent, et utilisent donc soit des ordinateurs, soit des réseaux partagés et auxquels ils font trop confiance.
Pour cette raison, Google, Hotmail et Facebook (mais notamment pas Yahoo) ont tous mis en place un système appelé « authentification à deux facteurs » pour protéger votre compte. L’idée de base est simple: en plus de votre nom d’utilisateur et de votre mot de passe, lorsque vous utilisez un nouvel appareil pour accéder à leur système, vous devez également entrer un code à usage unique qui est envoyé à votre téléphone mobile.
L’idée est de vous protéger contre le vol des informations de vos utilisateurs sur un réseau non sécurisé ou sur un ordinateur pouvant exécuter des logiciels malveillants qui tentent de capturer précisément ces informations. Et même si le logiciel malveillant capture le code à usage unique, une fois que vous vous êtes déconnecté, le code devient invalide. Donc, s’ils essaient de se connecter avec vos informations volées, ils seront confrontés à une demande de code – qui sera envoyé à votre téléphone.
Protection du téléphone
Idéalement, le voleur potentiel n’aura pas votre téléphone – bien que la possibilité qu’il pourrait être soit la raison pour laquelle vous devriez protéger votre carte SIM avec un code d’accès et configurer votre téléphone pour qu’il se verrouille automatiquement.
Le problème est que tout le monde n’utilise pas le 2FA (comme il est également connu) – et il est assez difficile de les forcer à le faire. « Avec 750 millions d’utilisateurs, il est assez difficile de faire fonctionner une fonctionnalité de sécurité pour tout le monde », explique Joe Sullivan, directeur de la sécurité de Facebook, un ancien procureur fédéral américain qui a travaillé chez eBay pendant six ans et a rejoint le réseau social géant en 2008.
Pour de nombreuses personnes travaillant sur leur ordinateur familier, un nom d’utilisateur et un mot de passe constituent une sécurité suffisante. Mais pour d’autres, le 2FA est souhaitable, dit-il. « C’est comme si j’avais une clé pour verrouiller ma porte d’entrée, mais j’ai aussi une alarme que je peux choisir de régler ou non. »
Google et Hotmail vous permettent également de configurer une authentification à deux facteurs. Yahoo Mail ne le fait pas – évitez donc de l’utiliser dans des situations où vous ne faites pas tout confiance au réseau et à l’ordinateur que vous utilisez. (Un ordinateur de cybercafé ne doit pas être fiable, en principe; ni des réseaux sans fil ouverts dans les hôtels, les gares ou ailleurs.)
Une chose que l’utilisation de l’authentification à deux facteurs avec tous ces services est que, d’abord, vous avez besoin d’un numéro de téléphone mobile; deuxièmement, vous devez le configurer avant de voyager, ou du moins pendant que vous êtes sur une machine de confiance (qui n’est aucune des machines que vous rencontrerez en voyage).
Passer au facteur Deux
Pour activer l’authentification à deux facteurs :
• Dans Google, il se trouve dans l’onglet « paramètres » en haut à droite de la page. Vous devez configurer 2FA sur un ordinateur de confiance. (C’est une bonne idée d’avoir une imprimante à portée de main afin que vous puissiez imprimer une liste de codes de sauvegarde qu’elle fournit au cas où votre téléphone portable serait perdu ou volé.) Vous devrez fournir un numéro de téléphone auquel les codes peuvent être envoyés; évidemment, un mobile est idéal.
• Dans Hotmail, vous devez d’abord ajouter un numéro de téléphone mobile dans la page d’aperçu de votre compte Windows Live. (Encore une fois, vous devrez d’abord le faire sur un ordinateur de confiance.) Ensuite, chaque fois que vous accédez à Hotmail ou à d’autres services Windows Live, vous pouvez choisir d’obtenir un code à usage unique – une chaîne de chiffres qui sera envoyée par SMS à votre téléphone – à utiliser à la place de votre mot de passe. Assure-toi de le faire. Les codes à usage unique expirent après environ 15 minutes; assurez-vous également de vous déconnecter du compte avant de quitter la machine.
• Dans Facebook, accédez à Compte (coin supérieur droit) et Paramètres du compte. À partir de là, choisissez Sécurité et Connexion pprovals: cela offre une case à cocher pour « Exiger de moi qu’il entre un code de sécurité envoyé à mon téléphone ». Encore une fois, vous devez saisir votre numéro.
Yahoo ne propose pas de 2FA, ce qui pose problème, car cela met vos informations de connexion en danger. Il n’y a aucune option pour l’introduire non plus; le Guardian a établi qu’un service appelé YToken qui a une page Web prétendant l’offrir ne le fait pas, car il n’y avait pas assez de demande, selon son propriétaire.
Si vous devez accéder aux e-mails Yahoo pendant votre absence, il est plus sûr de le faire via un smartphone (avec un code Pin et un verrouillage du téléphone) ou de configurer un compte Hotmail ou Gmail qui se connecte périodiquement au compte Yahoo et vous montre l’e-mail qui en provient, et d’utiliser une authentification plus sécurisée avec eux.
Pendant ce temps, sur Twitter
Twitter n’a pas encore activé l’authentification à deux facteurs. « C’est formidable et quelque chose auquel il faut aspirer », déclare Del Harvey, responsable de la confiance et de la sécurité de Twitter. « Mais le fait que cela ait pris autant de temps à Google, avec les ressources dont il dispose, vous indique que ce n’est pas simple. »
De plus, beaucoup de gens utilisent Twitter depuis leur téléphone mobile – ses mises à jour de 140 caractères le rendent idéal pour les smartphones et les téléphones les plus simples qui n’envoient que des TEXTES. (Dans un certain nombre de pays, Twitter dispose d’un numéro de SMS auquel vous pouvez envoyer des mises à jour.)
» Beaucoup de gens nous contactent pour nous dire qu’ils ont perdu leur téléphone et qu’ils ont besoin que nous désactivions leurs mises à jour par SMS « , explique Harvey. La mise en œuvre de l’authentification à deux facteurs pour les personnes qui perdent leur téléphone « signifierait que nous les verrouillerions de leur compte sur le Web et rendrions également incroyablement difficile pour elles de redémarrer ».
Bien qu’elle utilise Gmail et l’authentification à deux facteurs, Harvey sait que si vous obtenez un nombre suffisamment important d’utilisateurs, vous finirez par obtenir un nombre ingérable qui a réussi à ne pas suivre les instructions. « Ils ont perdu leur téléphone, ou ils n’ont pas noté les codes de sauvegarde, ou – cela arrive – ils ont supprimé les codes de sauvegarde mais les ont stockés sur le téléphone. Et maintenant, ils ont perdu le téléphone… »
La foi de Harvey dans la faillibilité humaine est touchante, mais bien fondée. « Les utilisateurs ne sont pas susceptibles d’utiliser des éléments qui rendent l’utilisation de leur compte plus difficile », dit-elle. Au lieu de cela, Twitter s’est concentré sur l’ajout d’une sécurité simple qui empêche que vos informations soient « reniflées » sur les réseaux: toutes les connexions à Twitter se font désormais via des liens SSL sécurisés (le préfixe https: dans une barre d’outils du navigateur: si vous vous trouvez sur ce qui ressemble à un site Twitter mais qu’il n’a pas ce préfixe, terminez la session).
Un porte-parole de Twitter a déclaré: « Les utilisateurs peuvent activer https. Il n’est pas activé par défaut. On travaille là-dessus. »
Construire un meilleur mot de passe
Cela n’empêchera bien sûr pas les gens de deviner votre mot de passe s’il est faible — un mot dans un dictionnaire ou une simple combinaison de lettres et de chiffres. (Oui, beaucoup de gens utilisent « abc123 » comme mot de passe. Ce n’est pas un mot de passe fort.)
Vous pouvez vérifier la force de votre mot de passe à howsecureismypassword.net , qui vous dira combien de temps il faudrait au PC de bureau moyen pour déchiffrer votre mot de passe. Il ne stocke pas les mots de passe et ne demande pas de nom d’utilisateur, vous pouvez donc lui faire confiance.
Pour « abc123 », la réponse est « c’est l’un des 500 mots de passe les plus courants – vous devriez probablement le changer ». (Pour mon compte Twitter personnel, la réponse était « 24 000 ans ».)
Facebook et Twitter recherchent des mots de passe faibles: si vous essayez de créer un compte avec un mot de passe faible, ou qui s’est avéré largement utilisé (comme cela se produit lorsque des pirates piratent des systèmes et publient d’énormes listes de noms d’utilisateur et de mots de passe), ils le bloqueront.
» Lorsque nous voyons ces énormes magasins d’e-mails et de mots de passe, nous nous assurons de les voir « , explique Sullivan de Facebook. « Si nous constatons que quelqu’un a la même configuration d’e-mail / mot de passe sur Facebook, nous le modifions et le forçons à le changer lorsqu’il se connecte. »
L’avantage de Facebook est qu’il peut également forcer les gens à prouver leur identité en leur montrant des photos d’amis – quelque chose que la personne réelle sera généralement bonne à faire, et personne d’autre ne le fera pas.
Sullivan dit qu’entre 1% et 10% des mots de passe sont les mêmes entre les sites – pointant vers un autre problème: les personnes utilisant le même mot de passe entre les sites. C’est la plus grande source de vulnérabilités, en plus des mots de passe faibles.
L’idéal est que vous utilisiez un mot de passe différent sur chaque site – ce qui peut être fait, si vous utilisez un peu d’imagination. Il est également bon d’inclure des chiffres et des signes de ponctuation – ceux-ci ajoutent à la complexité, et donc à la difficulté de les casser.
Surtout, si vous utilisez un mot de passe différent sur chaque site, si par malheur votre nom d’utilisateur (souvent un e-mail) est volé avec votre mot de passe sur un site (défectueux), les outils automatisés que les pirates utilisent sur d’autres sites (y compris Facebook, Gmail, Hotmail, Twitter et Yahoo) ne parviendront pas à les obtenir. C’est un succès – du moins dans la mesure où cela vous empêche de passer une journée pire que d’avoir votre compte piraté.
{{topLeft}}
{{bottomLeft}}
{{topRight}}
{{bottomRight}}
{{/goalExceededMarkerPercentage}}
{{/ticker}}
{{heading}}
{{#paragraphs}}
{{.}}
{{/paragraphes}} {{highlightedText}}
{{# choiceCards}}
{{/choiceCards}}
- Partager sur Facebook
- Partager sur Twitter
- Partager par e-mail
- Partager sur LinkedIn
- Partager sur WhatsApp
- Partager sur Messenger