Est-il temps de faire un contrôle de l’« hygiène numérique »?

Est-il temps de faire un contrôle de l’« hygiène numérique »?

Le 15 août 2020, l’Agence du revenu du Canada (ARC) a été victime d’une grave atteinte à la sécurité, qui a eu des répercussions sur 5 500 comptes. Le gouvernement a agi rapidement pour combler la faille, informer les titulaires de comptes touchés et rétablir les services pour les Canadiens. Mais que pouvons-nous retirer de cette attaque et d’autres similaires en matière d’« hygiène numérique »?

Un cas de « bourrage de justificatifs »

Des enquêtes menées par les responsables de la sécurité de l’ARC ont révélé que le procédé de « bourrage de justificatifs » a servi à perpétrer l’attaque. Le site Wired explique (en anglais) le fonctionnement d’une telle attaque : « Les pirates bombardent les pages d’ouverture de session d’autres services numériques d’un nombre effarant de noms d’utilisateur et mots de passe (souvent obtenus de mégabrèches exploitées chez les entreprises – comme dans les cas de LinkedIn et Dropbox, en 2012).

En gros, les malfaiteurs alimentent leurs robots de données d’accès compromises achetées dans le web invisible (dark web), puis lancent leur ligne. Ensuite, les robots tentent d’ouvrir des sessions dans différents sites web et comptes numériques. Et, avec l’ARC, ils ont atteint la cible 5 500 fois. Comment cela se peut-il?

Malheureusement, l’utilisateur moyen d’Internet aide sans le vouloir les pirates en choisissant les mêmes mots de passe pour différents sites et comptes en ligne. Bien qu’il soit plus sécuritaire d’employer des mots de passe uniques et complexes, beaucoup s’éviteront d’avoir à gérer et à retenir un mot de passe pour chaque site. Même si le risque est connu, le réemploi des mots de passe demeure une pratique courante.

Et comme si ce n’est pas assez, les mots de passe réutilisés sont la plupart du temps faibles. Tout pour faciliter les choses aux pirates! Forbes a publié un classement des 100 pires mots de passe au monde (world’s top 100 worst passwords), à la lumière d’une recherche menée par NordPass, une entreprise proposant un gestionnaire de mots de passe. NordPass a évalué 500 millions de mots de passe compromis en 2019, et les a classés par nombre d’utilisations. Fait stupéfiant : les mots de passe « 12345 », « 123456 » et « 123456789 » occupent les trois premières places!

Comment vous protéger?

La protection passe par une « hygiène numérique » de base. Le Centre canadien pour la cybersécurité propose cinq façons de vous protéger contre les arnaques portant sur la COVID-19, qui peuvent aussi s’appliquer à la sécurité et à la protection générales.

Ces cinq moyens comprennent :

1. assurer la sécurité de vos mots de passe, ce qui comprend l’adoption de mots de passe complexes;
2. savoir reconnaître les tentatives d’hameçonnage;
3. appliquer le plus grand nombre de mesures de protection à vos comptes de médias sociaux et autres comptes;
4. tenir vos appareils à jour;
5. stocker vos données de manière sécurisée.

Outre la prudence de chacun, il existe deux solutions clés pour assurer sa sécurité en ligne.

L’authentification à facteurs multiples (ou authentification à deux facteurs) offre un deuxième mécanisme pour valider votre identité. Habituellement, cette formule suppose la validation de votre identité selon deux éléments sur trois parmi le mot de passe, un code numérique transmis à l’appareil et l’empreinte digitale. Cet article de PC Mag (en anglais) explique le fonctionnement de l’authentification à deux facteurs et donne des instructions pour la mettre en place dans des sites et applications courants.

Les gestionnaires de mot de passe sont d’excellents outils pour établir des mots de passe complexes et sécurisés, les garder en mémoire et y accéder au besoin. De tels systèmes permettent en fait de « garder sous clé » vos données d’accès, ce qui évite d’avoir à retenir ou à prendre en note les mots de passe et vous rend moins vulnérable aux attaques utilisant les mots de passe. Cet article du site Wired (en anglais) présente des gestionnaires de mots de passe recommandés pour PC, Mac, Android, iPhone et navigateurs web.

L’attaque subie par l’ARC et d’autres du genre renforcent l’importance de l’« hygiène numérique » et de la bonne gestion des mots de passe. Vous et le site ou l’application que vous utilisez partagez la responsabilité à l’égard de la sécurisation de vos comptes numériques, mais il n’est pas moins essentiel d’opter pour des mots de passe uniques et complexes. Faites une évaluation de vos mots de passe, puis modifiez ceux qui sont faibles ou utilisés à plusieurs endroits. Ce geste simple peut grandement contribuer à la protection de vos comptes numériques.

Pour obtenir d’autres conseils favorisant la protection de la vie privée en ligne, visitez telus.com/averti.