Catégorie : Sécurité

Les conséquences de la cyberattaque dont vient d’être victime France Travail (Voir l’article du13/03/2024 sur LMI) risquent d’être importantes. Les informations récupérées sont : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone.

Avec tout ça, on peut tenter d’accéder à beaucoup d’autres sites. Ces informations sont demandées régulièrement pour confirmer votre identité, à commencer par ma banque lors d’un appel téléphonique. Il est possible de faire apparaitre un autre numéro de téléphone lors d’un appel.

Pour limiter les risques, il faut utiliser plusieurs adresses mails en séparant au moins les sites de loisirs, d’achats et ceux officiels. On peut même envisager d’avoir un second numéro de téléphone, par exemple avec l’abonnement Free à 2€. Je ne reviens pas sur la gestion des mots de passe déjà évoquée.

Dans le cas présent, c’est grave car ce sont des données officielles qui ont été volées et non modifiables. Il est toujours possible de changer d’adresse mail mais pas de numéro de sécurité sociale, nom ou date de naissance. Toutes les personnes concernées devront être très attentives vis-à-vis de l’ensemble des autres sites officiels (impôts, sécu, etc.), surtout avec FranceConnect.

De nombreux sites proposent de vous identifier grâce à Google, Apple ou Facebook, voire Microsoft, X. Une seule identification est pratique, et déjà obligatoire comme pour Youtube avec un compte Google mais présente des risques.

Si vous utilisez l’authentification via Google pour les réseaux sociaux, vous lui permettez d’enrichir les informations dont il dispose déjà sur vous. Mais aussi, vous en devenez dépendant.

Le 5 mars 2024, les services de Meta (Facebook, Messenger, Instagram, …) ont été indisponibles (Voir commentcamarche.net, par exemple). Cela s’était déjà produit en 2021, comme le rappelait lemondeinformatique.fr.

Si vous aviez choisi de vous identifier sur d’autres sites avec votre identifiant Facebook, vous n’auriez pas pu y accéder non plus.

Privilégiez l’identification native de chaque site pour rester maître de vos accès. Cela impose, bien sûr, une bonne gestion de vos mots de passe comme je l’ai déjà évoqué.

La CNAF (caisse nationale d’allocations familiales) oblige ses utilisateurs de changer de mot de passe suite à une violation de données subie en février 2024 (voir l’article publié sur le site le Monde Informatique) et ajoute :

« Pour rappel, un mot de passe sûr et fiable doit être : différent pour chaque site ; complexe : + de 10 caractères et au moins un chiffre, une minuscule et une majuscule ; impossible à deviner ; modifié régulièrement ; communiqué à personne, pas même à la Caf »

C’est bien gentil, mais comment les retenir ? Il faut utiliser un gestionnaire de mot de passe. Je vous conseille KeePass. Il s’agit d’une application libre et gratuite pour Windows pour laquelle existe des portages sur MacOS, Linux, iPhone, IPad, Android, et j’en passe.

On peut aussi se définir une règle de création de mots de passe faciles à retenir :

• Choisir une ou deux chaînes de caractères impossibles à deviner qui seront incluses dans tous les mots de passe
• Définir une règle d’extraction de caractères depuis l’URL de chaque site, par exemple:
  • les deux derniers caractères du nom de domaine
  • le nombre de caractères du nom ou de l’extension
  • toute autre règle facile à retenir donnant deux ou trois caractères
• Utiliser plusieurs adresses mail en fonction des usages et ajouter une règle basée sur celles-ci pour avoir une troisième chaîne de caractères, un ou deux suffisent
• Combiner ces différentes chaînes pour obtenir un mot de passe quasi unique pour chaque site (on n’est pas à l’abri de doublons)

Changer régulièrement le mot de passe ne me semble pas indispensable sauf pour les sites réellement importants qui n’offriraient pas de double authentification.

Le message le plus important est de ne pas réutiliser le même mot de passe. Il suffit qu’un site ait été piraté pour qu’un pirate puisse accéder à tous les autres.

Le site officiel de sécurité de l’état français met en garde contre une faille de sécurité critique dans Microsoft Outlook. Il renvoie vers le site de Microsoft pour appliquer le correctif.

Attention, Outlook a remplacé d’agenda de base de Windows. Même ceux qui n’ont pas installé la suite Office sont concernés.

L’article du 16/05/2022 sur 01net parle de la collecte du mail, voire parfois du mot de passe, renseigné dans toute une série de formulaires en ligne.

Une raison de plus d’utiliser plusieurs adresses mails distinctes pour les courriers personnels, les commandes, les demandes de renseignements et autres liste de distribution; et jamais deux fois me même mot de passe!!!

La solution radicale est de paramétrer sa messagerie pour classer comme indésirable tout expéditeur ne figurant pas dans les contacts.
Ce n’est pas possible si on attend de futurs clients. Les solutions de filtrage des opérateurs de mails sont assez efficaces mais on peut vouloir protéger son entreprise de manière plus stricte, surtout les adresses publiques.

MailInBlack propose une solution intéressante :
Lorsqu’un nouvel interlocuteur envoie un mail, il reçoit une réponse demandant de confirmer qu’il est un être humain :

Après validation du captcha, l’émetteur est ajouté à la liste des « désirables » et le mail transmis au destinataire.

Malheureusement, leur site n’affiche pas de coût, il faut les contacter. Sur OVHcloud|Marketplace, le prix commence à 20.75€ HT/mois pour 5 boîtes mails, puis diminue en fonction de la quantité.
Une solution à envisager pour éviter tout risque.