Alors que la journée mondiale du mot de passe #worldpasswordday, le 3 mai 2018, rappelle aux utilisateurs la nécessité d’être vigilant en rendant les mots de passe plus sûrs, le message concernant leur vérification et leur modification régulière nécessite d’être rappelé. En effet, un an après la cyberattaque massive WannaCry, près d’un tiers des PC sous Windows sont toujours vulnérables. L’augmentation des cybermenaces, de la fraude en ligne et des vols d’identités numériques, démontre l’importance de garder ses appareils et comptes en ligne aussi sûrs et sécurisés que possible.

Nous sommes témoins d’une réelle « inertie » à grande échelle en ce qui concerne les mises à jour logicielles des terminaux avec les derniers correctifs de sécurité. Les internautes ne se sentent pas toujours concernés. Et pourtant…

Le 12 mai prochain marquera l’anniversaire de WannaCry, considérée comme la plus grande attaque ransomware de l’histoire. Elle a touché, sans distinction, les PC du monde entier appartenant aux consommateurs, aux entreprises, aux services de soins tels que les hôpitaux et même aux services gouvernementaux. Le système de santé publique (NHS) en Angleterre, a notamment identifié l’annulation de 6 912 rendez-vous, y compris des opérations chirurgicales, en conséquence directe du ransomware. Malgré cela, les recherches d’Avast démontrent qu’un an plus tard, près d’un tiers (29 %) des PC sous Windows fonctionnent toujours avec la vulnérabilité impliquée. Qu’il s’agisse de mots de passe, de mises à jour de nos systèmes ou de notre téléphone mobile, nous devons être mieux informés lorsqu’une action de notre part est requise, et dans le cas contraire, nous assurer de notre sécurité en ligne de manière proactive.

C’est pourquoi il est temps d’agir, pour ne pas avoir à réagir !

Tout d’abord, en vérifiant…

  1. … Le routeur. Il constitue la passerelle vers tous nos appareils connectés et pourrait les compromettre si le mot de passe est cracké. Si un service en ligne utilisé a été piraté par le passé, il est possible que le mot de passe ne soit plus sécurisé, alors il faut s’assurer de les changer pour l’ensemble des terminaux.
  2. … que les mises à jour logicielles sont appliquées. Vérifier que tous les périphériques connectés à nos réseaux domestiques sont mis à jour lorsque des correctifs logiciels sont publiés. Cela inclut les webcams, les jouets connectés ou encore les téléviseurs intelligents.
  3. … que l’on a installé un antivirus à jour. Cela permettra de détecter et de bloquer les logiciels malveillants tels que des ransomwares avant qu’ils ne provoquent des dommages (irréversibles !). Il détectera et supprimera également les menaces telles que les logiciels malveillants de saisie de frappe qui suivraient les nouveaux mots de passe que nous créons. Ces menaces doivent être détectées par des analyses régulières à partir d’un logiciel antivirus afin de protéger nos appareils.
  4. … que les mots de passe sont difficiles à déchiffrer. Choisir une phrase ou une série de mots mémorables et modifions-la pour ajouter des caractères spéciaux afin de créer des mots de passe uniques et complexes comprenant des chiffres, des caractères et des symboles. Il faut à tout prix éviter les combinaisons simples telles que l’utilisation de son nom, d’informations personnelles, de mots existants dans le dictionnaire, ou encore de formules telles que « mot de passe », « 0000 » ou « 1234 ».

Ensuite, en changeant…

  1. … Le patch et les habitudes de mise à jour ! De nombreux appareils, tels que les PC et les appareils mobiles, peuvent exécuter des mises à jour instantanément. Il n’y a donc aucune excuse pour les reporter à un moment qui semblerait plus opportun. D’autant qu’elles contiennent souvent des correctifs aux vulnérabilités. Par conséquent, ne pas les installer peut entraîner des failles dans votre sécurité dont les cybercriminels profiteront sans la moindre hésitation.
  2. … Les mots de passe régulièrement pour tous nos comptes et appareils. Bon nombre de personnes ne se rendent pas compte que changer leurs mots de passe régulièrement prévient les problèmes de sécurité les plus courants, tels que la cyberfraude, le vol de données en ligne et d’identité, ou encore le piratage.
  3. … La manière de sauvegarder nos mots de passe. Il ne faut pas sauvegarder les mots de passe sur son navigateur, car si notre ordinateur est piraté, les cybercriminels peuvent les récupérer et les utiliser pour accéder à nos comptes en ligne. Il vaut mieux faire appel à un gestionnaire de mots de passe, qui permet de créer des identifiants forts pour tous les comptes et de les stocker en toute sécurité derrière un mot de passe principal. Lorsqu’il est déverrouillé et que le module complémentaire du navigateur est installé, l’outil de gestion des mots de passe complète automatiquement les informations de connexion lorsqu’on souhaite accéder à ses comptes protégés.
  4. … Les processus de connexion sécurisé et en utilisant la double authentification pour se connecter aux sites Internet. Par exemple, le téléphone mobile peut servir de second niveau de sécurité ; on y reçoit alors un code permettant de vérifier les identifiants de connexion. Cette étape supplémentaire rend très difficile l’accès à un compte.

Les bonnes pratiques de sécurité sont comme l’éducation, il faut du temps, de la répétition et de l’accompagnement. Comme on tient la main d’un enfant qui fait ses premiers pas, accompagner les utilisateurs dans leurs gestes de sécurité est important. Il est également essentiel de marteler les bons gestes à adopter en rappelant constamment que cela n’arrive pas qu’aux autres. Car finalement, le bât blesse, puisque chaque individu considère que ses données ne sont pas intéressantes pour des pirates… Il est donc temps d’indiquer à tout un chacun que les informations personnelles valent de l’or ! La journée mondiale du mot de passe ne résoudra sans doute pas les problèmes mais vise à contribuer à cette sensibilisation à grande échelle. Primordial, si un nouvel épisode WannaCry veut être évité.

__________
Bastien Dubuc est Country Manager France, Consumer, chez Avast.