Le guide Motherboard pour ne pas se faire hacker

Internet est parfois un endroit terrifiant, où des hackers sans foi ni loi s'emparent de centaines de millions de mots de passe en quelques minutes, quand ils n'engendrent pas des coupures de courant à grande échelle. Et a priori, il y a peu de raisons de croire que les choses vont s'arranger à l'avenir, entre les désastres bien réels causés par des trucs connectés à Internet sans la moindre raison valable, les robots domestiques "intelligents" qui pourraient bien vous tuer, les ordinateurs volants pilotés par des hackers, ou encore la possibilité très concrète de vous faire hacker génétiquement.

Mais calmons-nous un instant. En vrai, il n'y a pas de quoi flipper outre mesure. Oui, les hackers et les failles de sécurité constituent des dangers bien réels, mais il y existe des mesures très simples à prendre qui devraient normalement vous garantir une certaine sécurité sur Internet, et on va tout vous expliquer.

Avant d'entrer dans les détails, il y a quelques trucs que vous devriez savoir. Tout d'abord, la sécurité absolue n'existe pas. Si quelqu'un a vraiment décidé de vous hacker et possède les ressources adéquates, il ou elle finira certainement par y parvenir. Ensuite, la question la plus importante à se poser pour quiconque veut se protéger sur Internet, c'est une question que vous ne vous êtes sans doute jamais posée : quelles données voulez-vous protéger, et de qui exactement ? Dans le jargon des hackers, on parle de "threat modeling" (identification des menaces).

Les protections que vous devez mettre en place dépendent de qui tente d'accéder à vos comptes, ou de lire vos messages.

Êtes-vous confronté(e) à un(e) ex qui veut fouiller votre compte Facebook ? Commencez peut-être par vous assurer qu'il/elle ne connaît pas votre mot de passe (d'ailleurs, ne partagez jamais vos mots de passe importants avec qui que ce soit, peu importe votre degré de proximité ; et s'il s'agit de Netflix, assurez-vous de ne jamais réutiliser le même mot de passe ailleurs). Tentez-vous d'empêcher de mauvais plaisants de collecter des données personnelles vous concernant, comme par exemple votre date de naissance, qui peuvent ensuite être utilisées pour trouver d'autres détails plus gênants ? Peut-être devriez-vous faire attention à ce que vous postez publiquement sur les réseaux sociaux. Et l'authentification à deux facteurs (on y reviendra) peut s'avérer très utile pour contrecarrer les plans de criminels assez sérieux.

Mais gare à ne pas non plus trop surestimer la menace : si vous commencez à avoir recours à des procédés trop complexes quand ce n'est pas nécessaire (ou que vous ne savez pas vraiment comment les utiliser), vous risquez de le regretter. Au mieux, même les tâches les plus simples prendront plus de temps à accomplir ; au pire, vous risquez de tomber dans une sorte de confort en vous pensant surprotégé par tout un tas de gadgets plus ou moins utiles, et donc d'être moins attentif à ce qui compte vraiment et à la menace concrète à laquelle vous êtes confronté.

Ceci étant dit, voici quelques astuces assez basiques pour faire face aux menaces les plus courantes sur Internet.

Mettre à jour vos logiciels et autres applications est sans doute la chose la plus importante que vous puissiez faire pour vous protéger. Mettez à jour votre OS, vos applis, tout, tout le temps. Ce qui ne veut pas dire que vous soyez obligé d'utiliser la toute dernière version d'un OS, comme par exemple Windows 10 (parfois, des versions antérieurs sont toujours mises à jour. Par contre, ce n'est pas le cas de Windows XP, alors pitié, arrêtez de l'utiliser !). Le plus important, c'est que votre OS reçoive régulièrement des mises à jour de sécurité, et que vous les installiez consciencieusement.

Autrement dit, si vous devez ne retenir qu'une seule leçon de ce guide, c'est celle-ci : mettez tout à jour, partout, tout le temps ; installez des patchs chaque jour que Dieu fait comme si demain n'existait pas.

Beaucoup de cyberattaques profitent des failles de sécurité dans des logiciels un peu vieux qui n'ont pas été mis à jour depuis longtemps, comme des navigateurs ou des lecteurs de PDF. En mettant tout à jour, vous avez beaucoup moins de chances d'être victime d'une attaque.

On a tous beaucoup trop de mots de passe à mémoriser, et c'est bien pour ça que les gens réutilisent tout le temps les mêmes un peu partout. Certes, nos cerveaux sont plutôt performants lorsqu'il s'agit de retenir des mots de passe, mais franchement, c'est presque impossible de se souvenir de vingt mots de passe uniques et suffisamment complexes pour ne pas être devinés en 30 secondes par n'importe qui.

La bonne nouvelle, c'est qu'il existe une solution simple à ce problème : les gestionnaires de mots de passe. En gros, ce sont des applis qui conservent vos mots de passe pour vous, vous aident automatiquement à en créer de bons, et vous simplifient grandement la vie en ligne. Si vous décidez d'utiliser l'un de ces logiciels, vous n'aurez plus qu'à retenir un seul et unique mot de passe : celui qui vous permettra ensuite d'accéder à tous les autres.

Instinctivement, vous vous dites peut-être qu'il est assez débile de stocker tous vos mots de passe sur votre ordinateur. Et si un hacker y accédait ? Franchement, ça ne serait pas mieux de tout garder dans votre tête ? Bah non, pas vraiment : pour la plupart des gens, le risque qu'un escroc profite du fait que vous utilisez le même mot de passe sur plusieurs sites est bien plus grand que celui qu'un hacker de haut rang utilise des logiciels ultra-sophistiqués pour accéder à votre coffre à mots de passe. Encore une fois, il s'agit de savoir à quel genre de menaces vous êtes confronté.

Alors, pitié, utilisez l'un des nombreux gestionnaires de mots de passe disponibles gratuitement sur Internet, vous n'avez aucune raison valable de ne pas le faire. Ce sera plus sûr pour vous - et pour tous les autres ! - et ça vous simplifiera clairement la vie.

C'est très bien d'avoir une multitude de mots de passe uniques et sûrs, mais on peut toujours vous les voler. Pour vos comptes les plus importants (votre adresse e-mail principale, Facebook, Twitter), vous devriez donc sans doute ajouter une couche de protection supplémentaire, connue sous le nom d'authentification à deux facteurs (ou en deux étapes).

Avec l'authentification à deux facteurs, il faudra plus qu'un simple mot de passe pour accéder à vos comptes. En général, il s'agit d'un code que vous recevez par sms sur votre téléphone, ou généré par une application spécifique (ce qui est précieux si votre téléphone n'a pas de réseau au moment où vous cherchez à vous connecter).

Récemment, certains ont émis l'idée que les téléphones portables n'étaient peut-être pas très adaptés à ce type de méthode. L'activiste Deray McKesson s'est fait pirater son numéro de téléphone, ce qui signifiait que les hackers pouvaient ensuite très facilement se faire envoyer directement les codes protégeant ses différents comptes.

Si le site le permet, vous pouvez également choisir une option d'authentification n'ayant pas recours aux sms, comme par exemple une application d'authentification à installer sur votre smartphone (exemple : Google Authenticator), ou même une option physique telle qu'une Yubikey. Si vous en avez la possibilité, n'hésitez pas. Mais l'authentification via sms suffit en général largement, surtout si vous n'êtes pas la cible d'une attaque d'ampleur.

L'authentification en deux étapes est un excellent moyen d'empêcher le cybercriminel moyen d'accéder à vos comptes les plus importants. Vous trouverez ici une liste de tous les services qui la proposent, ainsi qu'un guide d'activation.

Laissez tomber Flash : En termes de sécurité, Flash est l'un des logiciels les plus pourris jamais installés sur votre ordinateur. Les hackers adorent Flash. La bonne nouvelle, c'est que globalement, Internet se débarrasse peu à peu de Flash, ce qui veut dire que vous n'en avez plus vraiment besoin pour profiter des mille et une merveilles qu'offre le web. Alors n'hésitez pas à le dégager de votre ordinateur, ou au moins à modifier les paramètres de votre navigateur pour que Flash ne se lance pas sans que vous l'y ayez spécifiquement autorisé.

Installez un antivirus : Oui, on vous l'a déjà dit. Mais c'est toujours aussi vrai. Ok, les antivirus sont (assez ironiquement) pleins de failles de sécurité, mais si vous n'êtes pas le genre de personne que visent les hackers gouvernementaux ou les criminels aguerris, il vaut franchement mieux avoir un antivirus. Mais ce n'est pas non plus la panacée, et en 2016 il en faut un peu plus pour être vraiment en sécurité.

Installez des plugins de sécurité : Parfois, tout ce dont un hacker a besoin pour vous pwn, c'est de vous amener sur le bon site - rempli de virus. C'est pourquoi il est utile d'avoir recours à des plugins très simples, que vous oubliez aussitôt après les avoir installés, comme par exemple des adblockers, qui vous protègent des menaces que présentent les sites les plus douteux sur lesquels vous vous retrouvez parfois (évidemment, n'hésitez pas à ajouter une exception pour Motherboard, puisque les pubs présentes sur le site nous permettent de vivre).

Autre plugin utile : HTTPS Everywhere, qui force votre connexion à être cryptée (quand le site l'autorise). Ça ne vous sauvera pas si le site que vous visitez est bourré de virus, mais dans certains cas, ça empêche les hackers de vous rediriger vers de fausses versions du site, et plus globalement ça vous protège de ceux qui pourraient tenter de profiter du fait que votre connexion n'est pas sécurisée.

Utilisez des VPN : Si vous allez sur Internet dans un lieu public, que ce soit un Starbucks, un aéroport ou même un Airbnb, vous partagez votre connexion avec des gens que vous ne connaissez pas. Et si un hacker se trouve sur le même réseau, il peut en profiter pour accéder à votre ordinateur.

Ne vous exposez pas inutilement : Les gens adorent raconter leur vie sur les réseaux sociaux et y partager n'importe quoi. Mais pitié, vraiment, ne tweetez pas une photo de votre carte de crédit, par exemple. Plus généralement, gardez toujours en tête que ce que vous postez sur les réseaux sociaux est accessible à quiconque aurait l'idée de faire un tour sur votre profil. Rien n'est plus facile, par exemple, que de deviner votre adresse en étudiant rapidement vos trajets de footing sur Strava, un réseau social dédié aux coureurs et aux cyclistes.

Des informations personnelles telles que votre adresse ou votre ancien lycée peuvent être utilisées pour trouver bien d'autres informations. Et plus un hacker dispose d'informations sur vous, plus il a de chances d'accéder à l'un de vos comptes. Pensez donc à bien configurer vos paramètres de sécurité sur vos comptes les plus importants, au passage.

N'ouvrez aucune pièce jointe sans précautions : Cela fait des décennies que les cybercriminels cachent des virus dans des pièces jointes telles que des documents Word ou des PDF. Parfois, les antivirus vous protègent, mais il vaut quand même mieux faire preuve de bon sens : n'ouvrez aucune pièce jointe (et ne cliquez pas sur les liens) envoyés par des gens que vous ne connaissez pas, ou que vous n'avez pas réclamés. Et si vraiment vous ne pouvez pas vous en empêcher, prenez des précautions, en ouvrant par exemple les pièces jointes avec Chrome (sans les télécharger). Encore mieux : sauvegardez le fichier sur Google Drive, et ouvrez-le ensuite via Drive, ce qui est beaucoup plus sûr puisque c'est alors Google qui l'ouvre et non votre ordinateur.

Faites des backups : Rien de très novateur ici, mais si vous avez peur que des hackers détruisent ou volent vos fichiers (par exemple avec un ransomware), alors vous feriez bien d'en faire des copies. Idéalement, faites ça quand vous êtes déconnecté, en stockant tout sur un disque dur externe ; comme ça, si vous êtes victime d'un ransomware, votre backup ne sera pas infecté.

C'est tout pour l'instant. Encore une fois, ce guide assez basique s'adresse avant tout à l'internaute moyen. Si vous luttez pour les droits de l'homme dans un pays dangereux ou une zone de guerre, ces conseils ne suffiront certainement pas, et il vous faudra prendre des précautions supplémentaires.

Mais nous avons tâché de vous donner quelques conseils essentiels que tout le monde devrait connaître.

Évidemment, certains de nos lecteurs vont se précipiter pour signaler tout ce qui peut manquer dans ce guide, et nous serons heureux d'avoir vos retours. La cybersécurité évolue en permanence, et les bons conseils d'aujourd'hui ne sont pas nécessairement ceux de demain. Nous essaierons donc de mettre à jour ce guide régulièrement, alors n'hésitez pas à nous dire ce que vous en pensez.

Et surtout, restez vigilants !

And remember, always be vigilant!

The Hacks We Can't See is Motherboard's theme week dedicated to the future of security and the hacks no one's talking about. Follow along here.