Suites du piratage de France Travail

Les conséquences de la cyberattaque dont vient d’être victime France Travail (Voir l’article du13/03/2024 sur LMI) risquent d’être importantes. Les informations récupérées sont : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone.

Avec tout ça, on peut tenter d’accéder à beaucoup d’autres sites. Ces informations sont demandées régulièrement pour confirmer votre identité, à commencer par ma banque lors d’un appel téléphonique. Il est possible de faire apparaitre un autre numéro de téléphone lors d’un appel.

Pour limiter les risques, il faut utiliser plusieurs adresses mails en séparant au moins les sites de loisirs, d’achats et ceux officiels. On peut même envisager d’avoir un second numéro de téléphone, par exemple avec l’abonnement Free à 2€. Je ne reviens pas sur la gestion des mots de passe déjà évoquée.

Dans le cas présent, c’est grave car ce sont des données officielles qui ont été volées et non modifiables. Il est toujours possible de changer d’adresse mail mais pas de numéro de sécurité sociale, nom ou date de naissance. Toutes les personnes concernées devront être très attentives vis-à-vis de l’ensemble des autres sites officiels (impôts, sécu, etc.), surtout avec FranceConnect.

Garder la maîtrise de votre identification

De nombreux sites proposent de vous identifier grâce à Google, Apple ou Facebook, voire Microsoft, X. Une seule identification est pratique, et déjà obligatoire comme pour Youtube avec un compte Google mais présente des risques.

Si vous utilisez l’authentification via Google pour les réseaux sociaux, vous lui permettez d’enrichir les informations dont il dispose déjà sur vous. Mais aussi, vous en devenez dépendant.

Le 5 mars 2024, les services de Meta (Facebook, Messenger, Instagram, …) ont été indisponibles (Voir commentcamarche.net, par exemple). Cela s’était déjà produit en 2021, comme le rappelait lemondeinformatique.fr.

Si vous aviez choisi de vous identifier sur d’autres sites avec votre identifiant Facebook, vous n’auriez pas pu y accéder non plus.

Privilégiez l’identification native de chaque site pour rester maître de vos accès. Cela impose, bien sûr, une bonne gestion de vos mots de passe comme je l’ai déjà évoqué.

A propos de mot de passe

La CNAF (caisse nationale d’allocations familiales) oblige ses utilisateurs de changer de mot de passe suite à une violation de données subie en février 2024 (voir l’article publié sur le site le Monde Informatique) et ajoute :

« Pour rappel, un mot de passe sûr et fiable doit être : différent pour chaque site ; complexe : + de 10 caractères et au moins un chiffre, une minuscule et une majuscule ; impossible à deviner ; modifié régulièrement ; communiqué à personne, pas même à la Caf »

C’est bien gentil, mais comment les retenir ? Il faut utiliser un gestionnaire de mot de passe. Je vous conseille KeePass. Il s’agit d’une application libre et gratuite pour Windows pour laquelle existe des portages sur MacOS, Linux, iPhone, IPad, Android, et j’en passe.

On peut aussi se définir une règle de création de mots de passe faciles à retenir :

  • Choisir une ou deux chaînes de caractères impossibles à deviner qui seront incluses dans tous les mots de passe
  • Définir une règle d’extraction de caractères depuis l’URL de chaque site, par exemple:
    • les deux derniers caractères du nom de domaine
    • le nombre de caractères du nom ou de l’extension
    • toute autre règle facile à retenir donnant deux ou trois caractères
  • Utiliser plusieurs adresses mail en fonction des usages et ajouter une règle basée sur celles-ci pour avoir une troisième chaîne de caractères, un ou deux suffisent
  • Combiner ces différentes chaînes pour obtenir un mot de passe quasi unique pour chaque site (on n’est pas à l’abri de doublons)

Changer régulièrement le mot de passe ne me semble pas indispensable sauf pour les sites réellement importants qui n’offriraient pas de double authentification.

Le message le plus important est de ne pas réutiliser le même mot de passe. Il suffit qu’un site ait été piraté pour qu’un pirate puisse accéder à tous les autres.

QR-code pour entrepreneur

Le QR-code a de nombreux usages, décrits par exemple sur Wikipédia. Je m’attacherai ici à ceux utiles aux entrepreneurs.

Leur utilisation présente cependant quelques risques, décrits sur le portail officiel de la transformation numérique des entreprises.

Lien vers un site

Vous pouvez ajouter sur votre carte de visite, le lien vers votre site:

Ma carte de visite

Carte de visite

Les cartes de visite papier ont tendance à disparaitre, même s’il est parfois efficace de laisser une trace physique. Pour les remplacer, vous pouvez présenter à votre interlocuteur un QR-code qu’il n’aura qu’à scanner pour vous intégrer dans ses contacts:

Mon site

Création d’un QR-code

De nombreux sites permettent de générer gratuitement en ligne un QR-code. Par exemple, q-r-code.fr ou qrcode-monkey.com.

Une vidéo intéressante

La vidéo qui décrit comment fonctionne un nom de domaine commence par un petit rappel sur les débuts d’Internet, « grâce à un groupe de potes ».

Effectivement, il ne faut pas oublier qu’Internet est issu d’une demande de l’armée américaine à des universitaires. Ces chercheurs avaient évidemment des contacts avec des collègues ailleurs dans le monde et leur dernier souci était la monétisation de ce système.

Vous êtes responsables

En cas de vol de données personnelles (de ses clients, fournisseurs ou salariés) l’entreprise est responsable. C’est bien détaillé par la CNIL.

Régulièrement, des entreprises sont victimes de vol de données. C’est par exemple arrivé deux fois à la chaîne d’hôtels Marriott, comme décrit par l’article du 07/07/2022 sur LMI. Des numéros de cartes bancaires ont ainsi été récupérés.

Il faut donc s’assurer de la sécurisations des données, surtout celles qui pourraient être utilisées à mauvais escient.

Se protéger des mails indésirables

La solution radicale est de paramétrer sa messagerie pour classer comme indésirable tout expéditeur ne figurant pas dans les contacts.
Ce n’est pas possible si on attend de futurs clients. Les solutions de filtrage des opérateurs de mails sont assez efficaces mais on peut vouloir protéger son entreprise de manière plus stricte, surtout les adresses publiques.

MailInBlack propose une solution intéressante :
Lorsqu’un nouvel interlocuteur envoie un mail, il reçoit une réponse demandant de confirmer qu’il est un être humain :

Après validation du captcha, l’émetteur est ajouté à la liste des « désirables » et le mail transmis au destinataire.

Malheureusement, leur site n’affiche pas de coût, il faut les contacter. Sur OVHcloud|Marketplace, le prix commence à 20.75€ HT/mois pour 5 boîtes mails, puis diminue en fonction de la quantité.
Une solution à envisager pour éviter tout risque.

Être présent sur Internet

Premièrement, il faut choisir son nom de domaine, « paul-conseil » par exemple, puis dans quel « Registre de noms de domaine » (parfois désigné par NIC) l’enregistrer. Les domaines de premier niveau peuvent être géographiques (FR, UK, BE, EU, etc.), par type d’entreprise (COM, ORG, NET, etc.), voire spécifique (OVH, PRO, SITE, PARIS,etc.).

L’enregistrement du nom sera fait par l’entreprise (nommée Registrar) qui fournira les serveurs de noms pour ce domaine (nommés DNS, il en faut au moins deux, au cas où l’un tombe en panne). Voir https://assiste.com/Registrar.html. Le nom n’est pas acheté, mais loué. Il faut donc renouveler régulièrement cet abonnement pour éviter de le perdre.

Avec ce nom, on peut créer au moins deux types de services :

Si on veut se laisser le maximum de marge de manœuvre, on peut faire appel à trois prestataires différents (voir https://www.arobase.org/hebergement/ou-heberger-messagerie-professionnelle.htm/) :

  • Le registre qui gère le nom de domaine
  • L’hébergeur qui met à disposition de serveur pour le site Web
  • Le fournisseur de service de messagerie

Les hébergeurs proposent des offres comprenant les trois fonctionnalités, mais il peut être intéressant de faire appel à un prestataire spécialisé pour la messagerie.

Microsoft et Google, par exemple, offrent des solutions bureautique et collaborative incluant la messagerie, mais pas l’hébergement de site Web.

Les offres des hébergeurs de site comprennent souvent des systèmes de gestion de contenu (nommés CMS) et des bases de données. Selon le site d’analyse w3Techs, 43 % des sites Web dans le monde sont basés sur WordPress. C’est en tout cas de loin le premier CMS utilisé.

Avec ce type de logiciel, il est possible de créer un site Web simple (comme celui-ci), mais il vaut mieux faire appel à un prestataire spécialisé dès qu’on veut aller plus loin.

Un élément supplémentaire est devenu indispensable pour les sites Web, le certificat SSL. Son existence est visible grâce au « S » ajouté dans l’adresse, https://www.paul-conseil.fr par exemple. Il est quasiment rendu obligatoire pour les navigateurs récents et permet un meilleur référencement chez Google. Sa fonction première est de protéger les informations circulant entre le client et le site en les chiffrant. L’autre intérêt est de fournir les informations sur le propriétaire du site.

Ce certificat, comme le nom de domaine, doit être renouvelé à intervalle régulier. Attention, car le navigateur risque de bloquer l’accès au site si le certificat est périmé.