Après l’alerte de la CNIL : 5 gestes pour protéger vos comptes
Les fuites de données ont bondi en 2024 (+20%, selon la CNIL). Des gestes simples (2FA, passkeys) peuvent renforcer la sécurité de vos comptes.
Les fuites de données n'ont jamais été aussi nombreuses en France et elles concernent désormais des dizaines de millions de personnes. La CNIL a tiré la sonnette d'alarme dans son bilan annuel publié le 29 avril. Le régulateur des données personnelles a recensé 5.629 violations l'an dernier, soit 20% de plus qu'en 2023. Et la tendance s'accélère : plus de 2.500 fuites de données ont déjà été signalées au premier trimestre cette année, soit près de la moitié du total annuel précédent.
Face à l'amplification du phénomène, l'autorité de protection de la vie privée appelle les entreprises et les organismes publics détenteurs de grandes bases de données à serrer la vis. Dans les prochaines semaines, les entités qui détiennent les informations de plus de 2 millions de personnes devront obligatoirement sécuriser leur accès avec un dispositif d'authentification à deux facteurs, afin que leurs salariés, prestataires ou sous-traitants combinent un deuxième moyen d'identification à la saisie de leur mot de passe habituel.
Le recours à l'authentification multifactorielle est une recommandation de longue date des experts en cybersécurité qui vaut aussi pour les particuliers. Aujourd’hui, avoir un bon mot de passe n’est plus forcément suffisant pour assurer la sécurité des comptes en ligne. Avec la multiplication des fuites de données et des arnaques qui sont de plus en plus sophistiquées, les pirates ont de nombreuses portes d’entrée pour dérober des informations.
#1 - Activer la double authentification
La double authentification est une technique relativement simple à mettre en place qui peut fortement limiter les risques d'intrusion informatique. Cette méthode, aussi appelée 2FA, consiste à rajouter une étape de vérification lors de la connexion à un compte. En plus du mot de passe, elle implique de renseigner un code temporaire qui peut être envoyé par SMS ou par mail. Cela peut aussi être la validation d'un élément biométrique, comme le scan d'un visage par Face ID sur un iPhone ou d'une empreinte digitale. Il peut aussi s'agir d'un code généré par un appareil physique, comme les clés Yubikey utilisées dans le secteur bancaire.
Pour activer la double authentification sur un profil, le plus simple est de passer directement par le système intégré des différents services en ligne. Apple, Google, Facebook, Instagram… tous proposent cette option dans leur paramètre de sécurité et de connexion. En général, les plateformes laissent le choix de la méthode: soit l'envoi d'un code par texto à renseigner au moment de la connexion, soit le recours à une application dédiée à l’authentification.
Le code par SMS est la méthode la plus simple pour renforcer la sécurité d'un compte, mais elle est aussi la plus facile à détourner. Une fois en possession d'un mot de passe, les cybercriminels peuvent mettre en œuvre des approches très crédibles pour amener leur cible à révéler un code de vérification. C'est le mécanisme qui est au coeur de l'arnaque au faux conseiller bancaire, par exemple.
La double authentification par SMS est aussi vulnérable aux attaques par SIM swapping, lorsqu'un tiers utilise les informations personnelles d'une personne pour cloner sa carte SIM et prendre la main sur son numéro de téléphone afin de récupérer ses codes de connexion.
#2 - Utiliser une application spécialisée
Une alternative plus sécurisée consiste à passer par une application spécialisée dans l’authentification. La plus célèbre est Google Authenticator. Pour l'activer sur un profil, il faut scanner un QR code affiché dans les paramètres du site de votre choix pour enregistrer la clé secrète sur l'application.
Ensuite, au lieu de recevoir un code par SMS de Facebook, par exemple, au moment de vous connecter, l’application se chargera de générer un code à usage unique sur votre smartphone qui expirera après 60 secondes. Vous avez ainsi la certitude que personne ne peut l'intercepter sans avoir un accès physique à votre mobile.
Un autre service spécialisé très populaire est Microsoft Authenticator qui est souvent proposé aux salariés pour protéger leurs comptes professionnels. Ces méthodes sont efficaces, mais elles impliquent d'avoir toujours son téléphone à portée de main au moment de se connecter.
#3 - Activer les alertes de connexion
Un autre moyen de renforcer la protection d'un compte et d'activer les alertes de connexion. Cette technique peut d'ailleurs être associée à celle du code reçu par SMS. Elle consiste simplement à automatiser l'envoi d'une notification lorsqu’un appareil se connecte à votre profil.
Cette option se trouve généralement dans les paramètres de sécurité et de connexion. Il faut renseigner l'appareil sur lequel on souhaite être alerté puis à chaque fois que quelqu'un essaiera de se connecter à votre compte, vous recevez un message vous demandant de valider la connexion.
Cette méthode est recommandée pour sécuriser une boîte mail principale ou des comptes administratifs sensibles, comme le site des impôts ou l'espace Ameli, par exemple.
#4 - Penser aux clés d'accès
Une autre option est en train d'être déployée par les entreprises technologiques : les Pass Keys, ou clés d’accès en français. Elles ont été mises au point par les géants de l’industrie pour remédier aux lacunes des mots de passe.
Les passkeys utilisent la technologie du chiffrement pour sécuriser les accès. Ils générent une clé unique qui est stockée exclusivement sur l’appareil. Puis ils se basent sur les systèmes de verrouillage des smartphones, comme la reconnaissance faciale ou le code PIN, pour s’assurer que c’est bien le propriétaire du compte qui se connecte.
La principale limitation réside dans le fait qu'ils sont nécessairement liés à un seul appareil, ce qui complique la synchronisation, et, surtout, que tous les sites ne permettent pas encore de les utiliser. Mais leur adoption progresse au fil des mois.
#5 - Passer à l'identité numérique certifiée
Enfin, pour aider les Français à maîtriser leurs données lors des démarches administratives en ligne, les autorités ont commencé à accélérer le déploiement de la carte d’identité biométrique, le document au format carte bancaire lancée il y a trois ans. Depuis fin mars, il est possible de demander à recevoir la nouvelle carte au motif d’installer l’application France Identité pour activer son identité numérique certifiée.
L'application permet ensuite d'enregistrer sa carte d'identité, son permis de conduire et sa carte Vitale pour se connecter plus facilement lors des démarches en ligne, mais aussi de générer des justificatifs d'identité à usage unique plus difficiles à falsifier. D'après le gouvernement, 2 millions de Français profitent déjà des avancées de ce dispositif.
- Explosion des fuites de données : que deviennent nos informations personnelles après un piratage ?
- La CNIL va rendre obligatoire la double authentification face à l'explosion des fuites de données massives
- Meta va scanner vos données Facebook et Instagram pour nourrir son IA : voici le formulaire pour s'y opposer
- Comment savoir si vos données personnelles circulent sur le dark Web
- Journée mondiale de la protection des données : 8 podcasts à écouter pour ne plus vous faire piéger
