Trois astuces pour éviter que vos données se retrouvent dans le web obscur

Publié le 20/02/2020 à 07:00

Trois astuces pour éviter que vos données se retrouvent dans le web obscur

Publié le 20/02/2020 à 07:00

(Pexels)

C'est devenu une rengaine connue: quand une entreprise de taille respectable annonce qu'il y a eu fuite des données qu'elle possède sur ses clients, les médias avertissent un peu tout le monde que tout cela risque fort de se retrouver ensuite dans le «dark web», alias le web obscur.

Cet espace non répertorié de la Toile est composé de sites et de forums où des internautes aux intentions par toujours légitimes (mais attention, il y en a qui le sont!) peuvent publier ou échanger ces données, moyennant une poignée de dollars.

En sécurité informatique, bien protéger ses données prend parfois l'allure d'un jeu du chat et de la souris, où il s'agit continuellement d'avoir un pas d'avance sur les menaces afin de les éviter.

Mais même si les outils et les menaces se raffinent, d'une année à l'autre, allant du hameçonnage au harponnage, des simples virus aux rançongiciels les plus sophistiqués, les mesures à prendre pour s'en prémunir, elles, demeurent simples et accessibles.

La seule limite à une bonne protection contre les cybermenaces, c'est probablement votre paresse. On en a fait la preuve en trois temps, la semaine dernière, en recevant à la balado Une Tasse de Tech Stéphane Auger, cofondateur de Microfix, une entreprise de services informatiques de Terrebonne qui se spécialise dans la cybersécurité.


Le fameux mot de passe

Microfix a mis en ligne une page où il est possible d'indiquer son adresse courriel, et de déterminer si nos données personnelles sont partagées sur les sites et forums du web obscur (non officiellement répertorié) où s'échange ce type de données.

L'outil est gratuit. Microfix exige 20$ pour un rapport plus détaillé indiquant quelles combinaisons d'adresse et de mot de passe sont ainsi accessibles par un peu tout le monde, en plus de nommer la source, le service d'où provient l'information. Ce ne sont pas toujours ceux qu'on pense: ces dernières années, Facebook, Linkedin, Equifax, Desjardins et des dizaines d'autres entreprises de tous horizons ont vu leurs données dupliquées par des gens aux intentions malicieuses.

«Dans certains cas, les données sont chiffrées, donc il n'y a aucun risque», mais ce n'est pas une raison pour prendre ça à la légère. «Les adultes, ceux qui ont une présence web d'au moins 10 ans, sont les plus susceptibles d'avoir des données qui leur appartiennent diffusées sur les forums du web obscur. Souvent, ce sont de vieilles informations, mais une personne qui utilise le même mot de passe sur différents sites est susceptible de voir ses autres comptes piratés. La plupart du temps, on a deux ou trois comptes qui ont coulé, mais ça peut aussi aller à des centaines d'accès piratés», avertit M. Auger.

Avoir plusieurs mots de passe différents, et utiliser un bon gestionnaire de mots de passe est une première précaution à prendre. Stéphane Auger ajoute à ça deux recommandations: changer à fréquence régulière les mots de passe pour accéder à des services plus délicats, comme son compte bancaire, et activer le mode d'authentification à deux facteurs, quand c'est offert.

Deux facteurs valent mieux qu'un

Mais attention! Pas n'importe quel second facteur est à recommander. En fait, l'actualité des dernières semaines a illustré une faille dans cette pratique quand elle recourt à un mode d'identification bien particulier: la messagerie texte. En procédant à ce qu'on a surnommé le «SIM swap», les voleurs peuvent transférer le numéro de téléphone associé à votre sans-fil sur leur propre appareil, et ainsi récupérer le message envoyé automatiquement par les services recourant à cette solution.

Étonnamment, de grands groupes informatiques comme Microsoft et Twitter utilisent encore cette pratique (remarquez, c'est déjà mieux qu'Equifax, qui ne propose même pas d'authentification à deux facteurs…).

Éviter l'authentification par messagerie texte n'est pas sorcier, puisqu'on peut opter dans la plupart des cas pour un code fourni par une application d'authentification tierce. Microsoft, encore elle, et Google, entre autres, proposent de telles applications. Apple et Facebook, pour citer ces deux exemples, préfèrent transmettre une alerte aux autres appareils où l'utilisateur est déjà authentifié, avertissant d'une nouvelle tentative de connexion. Comme ça, au moins, l'utilisateur est averti.

Mémoire double

Les pirates, comme tout le monde, suivent la mode. Et la mode, dans le piratage informatique, consiste à soutirer des sous, souvent sous forme de bitcoins, à des internautes ou des entreprises insouciantes qui installent sur leur poste informatique ou leur serveur un logiciel malicieux qui crypte toute l'information qui s'y trouve, et qui ne sera déverrouillée qu'en remettant ces sous à des pirates. La rançon en question est généralement exigée sous forme de bitcoins, une monnaie numérique à peu près impossible à retracer.

C'est ce qu'on appelle les rançongiciels. Si vous pensez que c'est un phénomène marginal, notez cette information fournie par la firme indépendante Emsisoft, qui estime à 65 millions de dollars le poids sur l'économie canadienne des rançongiciels, l'an dernier seulement.

On peut déjouer certains rançongiciels en confiant à un expert la tâche d'en trouver une faille. Dans certains cas, ça fonctionne. Dans d'autres, cet expert ne peut faire mieux qeu de recommander de payer la rançon, ce qui peut convaincre le pirate de remettre la clé qui débloquera les données. Mais ça n'arrive pas toujours.

Et parfois, ça va plus loin que l'aspect financier. La firme Emsisoft citée plus haut a relevé une nouvelle tendance, en début d'année: les pirates ciblent les femmes et leur demandent une photo d'elles, à nu.

C'est autrement plus gênant…

Mais heureusement, on peut aussi se protéger de tout ça simplement, et efficacement, en appliquant une mesure qui était déjà recommandée à l'époque où les logiciels s'installaient sur un PC à partir d'une douzaine de disquettes de 3,5 pouces de large: la copie de sûreté.

Mais attention! Pas une copie effectuée à la va-vite, une fois par année. Une copie sur une base régulière, sur un stockage distant (déconnecté du réseau), et idéalement, même située à une autre adresse (ce qui sera utile en cas d'incendie, par exemple).

Mais déjà, dupliquer ses données sur une clé USB ensuite rangée en lieu sûr est un minimum. Bien rangée, précise Stéphane Auger. «Des gens font une copie de sauvegarde sur un disque USB et le laissent branché à leur poste. Quand un rançongiciel crypte l'accès au PC, il le fait aussi avec les disques externes», précise l'expert en sécurité informatique.

Suivez-moi sur Facebook:

Suivez-moi sur Twitter:

À propos de ce blogue

Autrefois, on appelait ça de l'électronique mais de nos jours, les nouvelles technologies vont bien au-delà des transistors et des circuits imprimés. Des transactions bancaires à l'écoute en rafale d'émissions de télé les plus populaires, la technologie est omniprésente. Et elle comporte son lot de questionnements. Journaliste spécialiste des technologies depuis bien avant l'avénement du premier téléphone intelligent, Alain McKenna a observé cette évolution sous tous ses angles et livre ici ses impressions sur le sujet.

Alain McKenna
Sujets liés

Technologie , techno

Sur le même sujet

EasyJet victime d'une cyberattaque, 9 millions de clients touchés

Mis à jour le 19/05/2020 | AFP

Les pirates ont obtenu des adresses courriel et détails de voyage et les données des cartes de crédit de 2208 passagers.

Les victimes de stratagèmes de rencontre ont perdu 19 M $ en 2019

Les fraudeurs utilisent de faux profils sur les réseaux sociaux et des sites de rencontre populaires.