La sécurité sur l’Internet n’a jamais été aussi menacée. Google considère qu’il est temps de renforcer grandement nos protections avec la double authentification.

Moins de dix pour cent. Oui moins de dix pour cent des utilisateurs réguliers des produits Google utilisent une identification à deux facteurs. Un tel chiffre montre bien que la sécurité des données est un paramètre mal compris mais surtout non pris en compte par un trop grand nombre de personnes. Pourtant, notre vie numérique devient de plus en plus intense. Il n’y a plus de séparation entre vie publique avec les démarches et pièces administratives et vie privée : location d’une chambre d’hôtel ou achat en ligne d’un produit. Car ne l’oublions pas le point commun avec tous ces services est notre adresse email et par là même le service permettant de consulter nos courriels. Elle est la Clé pour sécuriser nos accès à tous les services online, aussi bien pour récupérer son mot de passe ou pour valider une information. Les pirates informatiques l’ont bien compris et cherchent par tous les moyens d’accéder à NOTRE boîte mail.

L’adresse électronique est donc l’objet de toutes les convoitises car elle ouvre les portes à des mines d’informations pour les personnes intéressées sur le contenu dématérialisé, comprenant aussi bien des photos mais aussi les copies de pièces officielles. Il est loin le temps où factures, démarches administratives et photos se rangeaient dans des classeurs et albums. La dématérialisation est passée par là entraînant de facto une sorte de facilité dans le classement mais aussi l’accès.

Comme à chaque fois et cela concerne aussi la sauvegarde des données, il est toujours trop tard quand nous constatons que nous aurions dû….. Un “nous aurions dû” où les informations perdues/volées prennent moins de valeurs  si nous avions pris le temps d’utiliser une identification à deux facteurs et une sécurité prenant plus de valeurs à l’inverse de nos valeurs puisque protégées.

Le mot de passe est la priorité des priorités

La technique d’approche préférée des pirates pour récupérer l’accès aux données via la boîte mail s’appelle le fishing, Cela consiste simplement à imiter un courriel d’une banque ou d’un fournisseur d’accès Internet pour prendre possession des mots de passe.

Aujourd’hui  pour protéger les accès à  l’espace de vie privée, cela se fait par le biais d’un mot de passe, dont la facilité à être cassé soit par l’homme soit par la machine, va de zéro à dix. Ainsi pour beaucoup d’utilisateurs il est tellement facile de taper 123456789. (1) Cela permet de se souvenir de cette série de chiffres et en même temps cela autorise  un accès rapide à sa banque en ligne ou à l’espace Gmail. Car non content d’utiliser une telle clé, afin de ne pas se tromper d’une porte à une autre, le mot de passe devient universel. Une telle facilité dans la démarche d’accès n’est pas un fantasme de rédacteur, mais au contraire une réalité qu’il nous est permis de constater tous les jours. L’âge comme les connaissances dans l’outil informatique n’ont aucun rapport avec le mot de passe utilisé permettant ainsi aux malfaisants de se frotter les mains.

La passphrase mieux que le mot de passe

Edward Snowden nous expliquait , que le mot de passe avec des majuscules, des caractères spéciaux des chiffres et des nombres n’est pas forcément très judicieux et très souvent nous ne le retenons pas.

Afin d’utiliser au mieux une clé de protection, il est plutôt conseillé d’utiliser un mot de passe composé d’une phrase dont nous aurons la faculté de nous souvenir facilement. Il définit ce type de mot de passe comme étant une passPhrase. Afin de savoir si celle-ci est (in)vulnérabe, la société d’antivirus Kaspersky, a mis en ligne un vérificateur de vulnérabilité de mot de passe indiquant en combien de temps il peut-être trouvé avec un Pc standard. Testez votre mot de passe, vous risquez de vous sentir ridicule d’être tombé dans la facilité.

Le gestionnaire de mot de passe

Si vous ne vous sentez pas capable de retenir les “clés” permettant d’accéder à chacun de vos espaces protégés ou même d’avoir un mot de passe différent pour chacun d’eux, Google a pensé à vous en proposant un générateur de mot de passe accessible directement sur Chromebook. Il vous propose même de les stocker directement dans le tableau de bord accessible dans les paramètres de ChromeOS pour les modifier, les exporter ou même les supprimer.

Évidemment et heureusement, Il n’y a pas que Google à proposer la centralisation de  tous vos mots de passe. Il existe ainsi des extensions comme 1password, Lastpass,…,  Elles permettent d’enregistrer tous vos mots de passe et d’y accéder grâce à un mot de passe maître. Il suffit ensuite de retenir ce dernier pour récupérer tous ceux qu’il protège. C’est bien sûr d’un contrat de confiance pouvant à tout moment être rompu et ce tiers s’engage à protéger votre clé de la meilleure manière possible. Mais….. comme tout ce qui est dématérialisé, les failles existent et nous pourrions même ajouter et heureusement. Car c’est par la crainte qu’une porte soit mal fermée que la société sera toujours plus vigilante et améliorera la protection dans le cadre de sa démarche qualité. Mais le risque existant toujours ne mettez pas tous vos oeufs dans le même panier. Ceci afin de partager les risques mais surtout d’avoir toujours une porte de sortie dans votre protection numérique.

Comment savoir si son compte mail a été compris

Votre vie numérique ayant déjà quelques années d’activité, vous aurez compris qu’il s’agit de la protéger le mieux possible aussi bien des malfaisants que de vous même. Qu’importe le nombre de clés, il s’agit de savoir s’il n’existe pas un double de celles-ci se promenant dans la nature, pouvant être utilisé par le premier voleur venu. Mais en premier lieu, il faut s’assurer si votre adresse email fait l’objet d’échanges.  Afin de le vérifier, le site internet « Have I Been Pwned ? » permet de contrôler si votre adresse email a été ou non compromise. Le principe est simple : se basant sur une base de données régulièrement mise à jour, il sera indiqué si votre adresse email est vulnérable après l’avoir rentrée dans le champ de recherche. Attention si c’est le cas, il suffit simplement de modifier dans les plus brefs délais le mot de passe. Ne faites pas comme il arrive trop souvent l’inversion d’une ou deux lettres, mais changez complètement votre clé.
A titre d’information, nous vous conseillons de ne jamais utiliser votre adresse email maître, c’est à dire celle que votre FAI ou société comme Google vous aura fourni lors de votre inscription. Utilisez plutôt un alias, s’il se trouve à être compromis il peut facilement être effacé. A vous ensuite  d’en utiliser un autre.

Dans le même esprit, Troy Hunt a créé un autre nouveau site web, Pwned Passwords, permettant de  vérifier si votre mot de passe n’est pas à disposition de malfaisants.  Si c’est le cas, changez-le dans les plus brefs délais en suivant les quelques conseils donnés ci-dessus.

L’identification en deux étapes

Si une Passphrase est mieux qu’un mot de passe, cela reste une suite de lettres/chiffres/ponctuations qu’il est possible de déchiffrer. Vous risquez même de retrouver celle-ci accompagnant votre adresse email, sur une liste utilisée par des hackers car aspirée sur un site mal protégé. Afin de mieux prévenir ce type d’ennuis, Google teste depuis plusieurs années le système d’identification à deux étapes.  Ainsi, si un pirate informatique contourne le premier niveau de sécurité constituant votre mot de passe, il aura tout de même besoin de votre téléphone ou de votre clé de sécurité pour accéder à votre compte.

L’invite Google sur Smartphone

Sans aucun investissement supplémentaire, vous pouvez sécuriser l’accès à votre boîte mail  grâce à l’identification en deux étapes. il suffit pour cela de lier votre téléphone portable Android à votre adresse Gmail.  Le principe est simple : rendez-vous sur la page de paramétrage puis sélectionner “Ajouter un nouveau téléphone”, Vous recevrez une notification sur l’écran de votre Gsm où il suffira d’appuyer sur “Oui”  et de saisir le code affiché sur le téléphone directement sur la page qui veut demande l’accès à votre compte.

Google authenticator

Dans le même esprit que l’invite Google, vous pouvez utiliser votre smartphone pour générer une clé de sécurité aléatoire grâce à l’application Google authenticator. Cette application gratuite disponible sur le Play Store permet le deuxième niveau de sécurité. Ainsi lorsque vous souhaitez vous connecter à votre compte Google, saisissez votre passphrase,Google vous demande ensuite d’accéder à Google authenticator pour récupérer un second code généré aléatoirement et modifié toutes les 30 secondes.  

Google Titan, la clé Fido U2F  

Dans le but de protéger toujours mieux les utilisateurs de ses produits, Google va proposer sa propre clé physique au standard d’authentification Fido U2F dite aussi Second Facteur Universel.  Comme l’a écrit le journaliste de cyber-sécurité Brian Krebs en juillet dernier, l’utilisation de cette clé par 85 000 employé de la société a permis de les protéger contre les tentatives d’hameçonnage. Fort de ces résultats, Google va mettre en vente la clé Titan, c’est son nom, à tous les utilisateurs.  Les clés USB Fido étant une sécurité physique supplémentaire d’espaces dématérialisés, il faudra lier votre clé à votre compte puis brancher sur un port USB de votre Chromebook  ou tout autre outil informatique ce support de validation, afin d’accéder à vos espaces numériques. Il existe de nombreux fabricants de clés Fido, certains proposent une validation par un capteur d’empreintes, d’autres par le biais d’une liaison Bluetooth. Google afin de répondre aux besoins des utilisateurs de ses produits, va proposer les deux possibilités de validation. Il ne s’agit pas pour Google de “tuer” les autres constructeurs de clés Fido, mais plutôt dire à ses clients “Nous vous protégeons mieux car nous vous hébergeons plus”.

La clé Titan n’est pas actuellement en vente, mais Google ne devrait pas tarder à nous la proposer sur la page du Google store. Il se dit même que son partenaire Fnac/Darty la mettra  en vente sûrement au mois de septembre. Le prix ne pouvant pas être un frein à la sécurité, elle sera vendue au prix unitaire de 20 € pour la version USB ou 25 € pour la version Bluetooth.

Toujours plus pour une meilleure protection de nos données

Tous les jours, nous laissons des traces de notre vie réelle dans des espaces immatériels. Au risque de se répéter une nouvelle fois et même si nous n’avons pas une réelle connaissances des failles informatiques, ce que nous appellerons l’hygiène informatique se doit d’être au centre même de nos préoccupations. Chacun de nous, n’étant pas au fait et cela se comprend de la sécurité informatique dans tout son espace, Google offre de nombreux outils simples d’accès mais avec un maximum de protection. Avec cette clé physique, Google nous offre un nouveau palier vers une protection presque absolue.

Pensiez-vous être bien protégé, utilisez-vous déjà un système de double authentification et seriez-vous prêt à acquérir une clé physique pour sécuriser vos données ? Donnez-moi votre avis, posez-moi vos questions dans la suite de cet article à travers vos commentaires.

1. Voir à ce sujet l’article du site journaldugeek.com proposant un récapitulatif des 25 mots de passes les plus utilisés en 2017.

Source: Blog Google