Sécurité numérique: ces petits riens qui rendent vulnérable

Les avertissements se succèdent et pourtant, les attaques informatiques et vols de données en tous genres prospèrent. Comment se protéger au mieux en ligne? Avant même de recourir à des solutions sophistiquées, plusieurs règles élémentaires de sécurité sont à garder en mémoire. Pour Jérôme Notin, directeur général de la plateforme Cybermalveillance.gouv.fr, plusieurs réflexes s'avèrent indispensables.

BFM Tech: A quelles règles d'hygiène numérique élémentaires ne peut-on couper, si l'on veut s'assurer une sécurité minimum en ligne?

Jérôme Notin: Les fuites de bases de données d’identifiants et mots de passe sont devenues très régulières. Lorsqu'elles ne sont pas chiffrées, elles donnent un aperçu des mots de passe les plus utilisés. Une grande majorité utilise des mots de passe extrêmement faibles et faciles à trouver, tels que 12345, azerty ou encore ceux liés à une date naissance. Un bon mot de passe est une chaîne de caractères assez longue avec si possible des chiffres et lettres, et a minima des majuscules et minuscules.
Les sauvegardes régulières, notamment les sauvegardes déconnectées, doivent également être un réflexe incontournable. Elles permettent de ne pas se retrouver démuni face à un rançongiciel et un vol de données. Enfin, les mises à jour, souvent jugées chronophages, doivent être acceptées pour sécuriser les systèmes d'exploitation et les applications utilisées. 

Une règle élémentaire est souvent rappelée pour une bonne hygiène numérique : ne pas se connecter à un Wi-Fi public. Que risque-t-on en faisant cela ?

On risque de se faire voler son login et son mot de passe. Le problème ne provient néanmoins pas du seul fait de se connecter à un Wi-Fi public. Il réside dans le fait d'accepter des certificats non sécurisés. L’idée est de ne pas cliquer sur ces fenêtres proposées par le navigateur. Sur un réseau ouvert ou un réseau fermé, les pirates peuvent faire exactement la même chose.
Une chose importante et à retenir : dès lors que l'on procède à une action qui réclame une authentification, que l'on se connecte sur le site de sa banque ou sur un réseau social, il faut supprimer le Wi-Fi et utiliser le réseau mobile opérateur, 3G ou 4G. L'étape suivante est de recourir à un VPN (réseau privé virtuel ndlr), pour être certain de naviguer en sécurité. 

"L'arnaque au faux support technique a fait de nombreuses victimes ces derniers mois."

Un certain nombre de personnes estiment être plus protégées sur smartphone que sur leur ordinateur, comme si rien ne pouvait lui arriver. Que doivent-elles garder à l’esprit ?

Cette croyance est étonnante, car les risques sont similaires ! Il faut absolument utiliser un code, un schéma ou une empreinte digitale pour déverrouiller son smartphone. Au quotidien, je vois un grand nombre de gens qui allument leur téléphone et ont directement accès à l’ensemble de leurs données. En cas de vol, ce sera open bar pour celui qui récupérera le téléphone. C’est donc vraiment une règle essentielle. Après, les choses qui s’appliquent sur ordinateur, telles que l'installation d'antivirus, s’appliquent aussi sur smartphone. Les mises à jour sont également fondamentales. 

Certaines attaques informatiques, telles que le phishing ou les rançongiciels, sont déjà bien connues des particuliers. Lesquelles sont en cours de développement, et s'avèrent plus difficiles à repérer ?

L'arnaque au faux support technique a fait de nombreuses victimes ces derniers mois. C’est une vraie menace aujourd’hui, qui cible les particuliers mais aussi les PME. Elle fait apparaître un message d’erreur à caractère urgent sur son smartphone ou son ordinateur, qui invite à appeler un pseudo support technique. Dès lors, on vous demande une certaine somme – bien souvent 300 euros -, pour dépanner et télécharger ce qui est soi disant un antivirus.

Ce logiciel va permettre de contrôler leur ordinateur ou smartphone à distance, de voler des données personnelles, dont parfois des pièces d’identité pour générer de faux papiers. Ces attaques sont devenues plus sophistiquées au fil du temps et se servent parfois de combinaisons de login/ mots de passe piratés pour envoyer des mails directement depuis une boîte mail infectée. Pour s'en prémunir, c'est assez simple: on ne clique sur rien, et on redémarre son ordinateur.