Cyberattaques : les conseils experts d’un hacker israélien pour mieux s’en protéger

Beaucoup d’internautes, non spécialistes en informatique, tentent de se protéger tant bien que mal, en réaction épidermique aux événements qui font l’actualité, par exemple après l’attaque via le rançongiciel Wannacry, ou le tout récent Petya, qui infecte les ordinateurs depuis ce mardi. Lui aussi est un ransomware, qui semble utiliser la même faille que son prédécesseur. Il existe pourtant certains fondamentaux à mettre en œuvre systématiquement pour anticiper au mieux les attaques malveillantes.

Ces techniques de base, bien qu’accessibles, ne sont souvent qu’imparfaitement connues, les internautes n’ayant pas vraiment pu bénéficier d’un cadre cohérent pour se former et protéger au mieux leurs données face à l’évolution extrêmement rapide d’Internet.

C’est pourquoi nous avons voulu vous les proposer en quelques leçons, en bénéficiant des conseils avisés d’Ilan Graicer, expert en sécurité informatique. Ce hacker israélien dirige depuis huit ans la recherche active de failles en cybersécurité au Centre Blavatnik de Tel Aviv.

La leçon 1 concerne un incontournable du monde informatique, le mot de passe.

“Il ne faut généralement que quelques secondes pour casser un mot de passe de six caractères, contre des années pour un mot de passe de onze chiffres et lettres. C’est pourquoi j’utilise des mots de passe de huit caractères pour ce qui n’est pas important, et douze ou treize caractères sinon” , explique Ilan Graicer.

Pour illustrer son propos, voici un schéma issu d’une étude de BetterBuys, société américaine de conseil en achats informatiques, qui montre comment l’ajout d’une simple lettre peut se traduire par des années de recherche supplémentaire pour réussir à percer un code. De même, mélanger des chiffres et des lettres, des lettres capitales et minuscules, ou même des signes de ponctuation peut accroître la sécurité de votre mot de passe.
 

Un autre conseil est de ne pas utiliser systématiquement le même mot de passe partout. Mais alors, comment éviter de se perdre rapidement dans une multitude de mots de passe différents et complexes ? Il existe des logiciels qui proposent de retenir vos mots de passe pour vous, mais pour Ilan Graicer, cela équivaut “à mettre tous ses œufs dans le même panier”.

Il existe une autre technique, très simple, qui consiste à créer un mot de passe avec une partie qui ne change jamais et une partie changeante, en fonction de l’utilisation du mot de passe en question.

Par exemple, si je m’appelle Michel François, je peux avoir un mot de passe dont la partie invariable est MFrançois05!, auquel je rajoute une partie variable liée au site pour lequel j’utilise le mot de passe. Mon mot de passe sur Facebook peut donc devenir MFrançois05!facebook ou MFrançois05!fbk et celui pour ma banque MFrançois05!banque, etc…

Voilà pour la technique d’Ilan Graicer. Mais ce n’est pas la seule.

Dans cet article de Cnet, il est par exemple proposé une autre version encore un peu plus compliquée, “en utilisant un proverbe que vous connaissez par cœur (comme ce proverbe indien, ‘ne coupe pas les ficelles quand tu pourrais défaire les noeuds’) dont vous ne garderez que les premières lettres, avant d’y ajouter des chiffres tirés par exemple de votre date de naissance (10 novembre 1955), et les initiales du service utilisé, comme Facebook (fb) ou Twitter (tt) : ncplfqtpdln -> 10ncplf11qtpdln55 -> fb10ncplf11qtpdln55.”
 
Mais plus c’est compliqué, et plus le trou de mémoire guette ! C’est à chacun de trouver le juste milieu.

Un autre bon compromis est d’utiliser la phrase de passe, c’est-à-dire une suite de mots qui n’ont rien à voir les uns avec les autres. C’est en général plus facile à retenir qu’une suite de lettres et de chiffres, et ça présente toujours l’avantage de ne pas répondre à une logique, car tout ce qui répond à une logique est plus facile à déchiffrer.

Par exemple, choisis complètement au hasard : licorne, voiture, Egypte, oscar. À vous ensuite de trouver l’histoire qui vous permettra de lier ces quatre mots sans queue ni tête, pour que vous ne l’oubliiez jamais tellement elle est absurde. Par exemple : la licorne conduit la voiture en Egypte avec Oscar. Seul vous trouverez une logique dans le mot de passe licornevoitureegypteoscar.

Encore une fois, attention, ça ne veut pas dire qu’il faille utiliser la même phrase de passe pour tous vos comptes.

Il faut en tous les cas éviter d’écrire son sésame sur un bout de papier, et encore plus de l’afficher au vu et su de tous. Sinon, il risque de vous arriver la même mésaventure qu’a connue un journaliste de TV5 Monde. Alors qu’il était interviewé par une télévision… sur la cyberattaque qui avait visé la chaîne publique française le 9 avril 2015, le mot de passe du compte Youtube de TV5 Monde figurait derrière lui, même s’il fallait des yeux bien exercés pour le voir.

Enfin, pour Ilan Graicer, il est très important d’activer la solution d’authenti-fication “à deux facteurs” (2FA) qui vous est depuis peu proposée par Gmail, Facebook ou iCloud, ce qui permet d’empêcher qu’une personne ne change votre mot de passe une fois qu’elle l’a craqué.

C’est ni plus ni moins qu’une “authentification forte”, en deux étapes, avec saisie du mot de passe et validation de votre identité via un autre code envoyé sur votre téléphone, cette seconde partie étant à l’image de ce qui est déjà pratiquée par de nombreuses banques pour les achats en ligne. Voici par exemple l’outil de validation 2FA tel qu’exploité par Google.

Prochaine leçon : Pare-feu, antivirus et antimalware !