C'est devenu une rengaine connue: quand une entreprise de taille respectable annonce qu'il y a eu fuite des données qu'elle possède sur ses clients, les médias avertissent un peu tout le monde que tout cela risque fort de se retrouver ensuite dans le «dark web», alias le web obscur.
Cet espace non répertorié de la Toile est composé de sites et de forums où des internautes aux intentions par toujours légitimes (mais attention, il y en a qui le sont!) peuvent publier ou échanger ces données, moyennant une poignée de dollars.
En sécurité informatique, bien protéger ses données prend parfois l'allure d'un jeu du chat et de la souris, où il s'agit continuellement d'avoir un pas d'avance sur les menaces afin de les éviter.
Mais même si les outils et les menaces se raffinent, d'une année à l'autre, allant du hameçonnage au harponnage, des simples virus aux rançongiciels les plus sophistiqués, les mesures à prendre pour s'en prémunir, elles, demeurent simples et accessibles.
La seule limite à une bonne protection contre les cybermenaces, c'est probablement votre paresse. On en a fait la preuve en trois temps, la semaine dernière, en recevant à la balado Une Tasse de Tech Stéphane Auger, cofondateur de Microfix, une entreprise de services informatiques de Terrebonne qui se spécialise dans la cybersécurité.
Le fameux mot de passe
Microfix a mis en ligne une page où il est possible d'indiquer son adresse courriel, et de déterminer si nos données personnelles sont partagées sur les sites et forums du web obscur (non officiellement répertorié) où s'échange ce type de données.
L'outil est gratuit. Microfix exige 20$ pour un rapport plus détaillé indiquant quelles combinaisons d'adresse et de mot de passe sont ainsi accessibles par un peu tout le monde, en plus de nommer la source, le service d'où provient l'information. Ce ne sont pas toujours ceux qu'on pense: ces dernières années, Facebook, Linkedin, Equifax, Desjardins et des dizaines d'autres entreprises de tous horizons ont vu leurs données dupliquées par des gens aux intentions malicieuses.
«Dans certains cas, les données sont chiffrées, donc il n'y a aucun risque», mais ce n'est pas une raison pour prendre ça à la légère. «Les adultes, ceux qui ont une présence web d'au moins 10 ans, sont les plus susceptibles d'avoir des données qui leur appartiennent diffusées sur les forums du web obscur. Souvent, ce sont de vieilles informations, mais une personne qui utilise le même mot de passe sur différents sites est susceptible de voir ses autres comptes piratés. La plupart du temps, on a deux ou trois comptes qui ont coulé, mais ça peut aussi aller à des centaines d'accès piratés», avertit M. Auger.
Avoir plusieurs mots de passe différents, et utiliser un bon gestionnaire de mots de passe est une première précaution à prendre. Stéphane Auger ajoute à ça deux recommandations: changer à fréquence régulière les mots de passe pour accéder à des services plus délicats, comme son compte bancaire, et activer le mode d'authentification à deux facteurs, quand c'est offert.
Deux facteurs valent mieux qu'un
Mais attention! Pas n'importe quel second facteur est à recommander. En fait, l'actualité des dernières semaines a illustré une faille dans cette pratique quand elle recourt à un mode d'identification bien particulier: la messagerie texte. En procédant à ce qu'on a surnommé le «SIM swap», les voleurs peuvent transférer le numéro de téléphone associé à votre sans-fil sur leur propre appareil, et ainsi récupérer le message envoyé automatiquement par les services recourant à cette solution.
Étonnamment, de grands groupes informatiques comme Microsoft et Twitter utilisent encore cette pratique (remarquez, c'est déjà mieux qu'Equifax, qui ne propose même pas d'authentification à deux facteurs…).
Éviter l'authentification par messagerie texte n'est pas sorcier, puisqu'on peut opter dans la plupart des cas pour un code fourni par une application d'authentification tierce. Microsoft, encore elle, et Google, entre autres, proposent de telles applications. Apple et Facebook, pour citer ces deux exemples, préfèrent transmettre une alerte aux autres appareils où l'utilisateur est déjà authentifié, avertissant d'une nouvelle tentative de connexion. Comme ça, au moins, l'utilisateur est averti.
Mémoire double
Les pirates, comme tout le monde, suivent la mode. Et la mode, dans le piratage informatique, consiste à soutirer des sous, souvent sous forme de bitcoins, à des internautes ou des entreprises insouciantes qui installent sur leur poste informatique ou leur serveur un logiciel malicieux qui crypte toute l'information qui s'y trouve, et qui ne sera déverrouillée qu'en remettant ces sous à des pirates. La rançon en question est généralement exigée sous forme de bitcoins, une monnaie numérique à peu près impossible à retracer.
C'est ce qu'on appelle les rançongiciels. Si vous pensez que c'est un phénomène marginal, notez cette information fournie par la firme indépendante Emsisoft, qui estime à 65 millions de dollars le poids sur l'économie canadienne des rançongiciels, l'an dernier seulement.
On peut déjouer certains rançongiciels en confiant à un expert la tâche d'en trouver une faille. Dans certains cas, ça fonctionne. Dans d'autres, cet expert ne peut faire mieux qeu de recommander de payer la rançon, ce qui peut convaincre le pirate de remettre la clé qui débloquera les données. Mais ça n'arrive pas toujours.
Et parfois, ça va plus loin que l'aspect financier. La firme Emsisoft citée plus haut a relevé une nouvelle tendance, en début d'année: les pirates ciblent les femmes et leur demandent une photo d'elles, à nu.
C'est autrement plus gênant…
Mais heureusement, on peut aussi se protéger de tout ça simplement, et efficacement, en appliquant une mesure qui était déjà recommandée à l'époque où les logiciels s'installaient sur un PC à partir d'une douzaine de disquettes de 3,5 pouces de large: la copie de sûreté.
Mais attention! Pas une copie effectuée à la va-vite, une fois par année. Une copie sur une base régulière, sur un stockage distant (déconnecté du réseau), et idéalement, même située à une autre adresse (ce qui sera utile en cas d'incendie, par exemple).
Mais déjà, dupliquer ses données sur une clé USB ensuite rangée en lieu sûr est un minimum. Bien rangée, précise Stéphane Auger. «Des gens font une copie de sauvegarde sur un disque USB et le laissent branché à leur poste. Quand un rançongiciel crypte l'accès au PC, il le fait aussi avec les disques externes», précise l'expert en sécurité informatique.
Suivez-moi sur Facebook:
Suivez-moi sur Twitter: