Sécuriser votre vie numérique, deuxième partie : la vue d’ensemble—et

Dans la première moitié de ce guide sur la sécurité numérique personnelle, j’ai couvert les bases de l’évaluation des risques numériques et protéger ce que vous pouvez contrôler : vos appareils. Mais les appareils physiques que vous utilisez ne représentent qu’une fraction de votre exposition numérique globale.

Selon un rapport d’Aite Group, près de la moitié des consommateurs américains ont subi une forme d’usurpation d’identité au cours des deux dernières années. Les pertes résultant de ces vols devraient atteindre 721,3 milliards de dollars pour 2021, et cela ne compte que les cas où des criminels prennent le contrôle et abusent des comptes en ligne. D’autres éléments précieux de votre vie numérique peuvent ne pas comporter de risques monétaires spécifiques pour vous, mais pourraient tout de même avoir un impact tangible sur votre vie privée, votre sécurité et votre santé financière globale.

Exemple concret : en septembre dernier, mon compte Twitter a été pris pour cible par un attaquant non identifié. Même si j’avais pris plusieurs mesures pour empêcher le vol de mon compte (y compris l’authentification à deux facteurs), l’attaquant m’a rendu impossible la connexion (bien qu’ils aient également été verrouillés hors du compte). Il a fallu plusieurs semaines et une communication de haut niveau avec Twitter pour restaurer mon compte. En tant que personne dont le gagne-pain est lié au fait de faire connaître les choses avec un compte Twitter vérifié, cela allait au-delà des inconvénients et me foutait vraiment dans mon travail.

L’attaquant a trouvé l’adresse e-mail associée à mon compte Twitter grâce à une brèche dans un agrégateur de données—informations probablement glanées dans d’autres applications que j’avais liées à mon compte Twitter à un moment donné. Aucun dommage financier n’a été causé, mais cela m’a fait réfléchir longuement et sérieusement à la façon dont je protège les comptes en ligne.

Une partie des risques liés à votre vie numérique est assumée par des prestataires de services qui sont plus directement touchés que vous par la fraude. Les sociétés émettrices de cartes de crédit, par exemple, ont beaucoup investi dans la détection des fraudes, car leur activité repose sur l’atténuation des risques liés aux transactions financières. Mais d’autres organisations qui gèrent vos informations d’identification personnelles – des informations qui prouvent que vous êtes vous au reste du monde connecté numériquement – sont tout aussi une cible pour la cybercriminalité, mais peuvent ne pas être aussi efficaces pour prévenir la fraude.

Tout compte dans plusieurs comptes

Vous pouvez faire un certain nombre de choses pour réduire les risques posés par les violations de données et la fraude d’identité. La première consiste à éviter d’exposer accidentellement les informations d’identification que vous utilisez avec les comptes. Une violation de données d’un fournisseur de services est particulièrement dangereuse si vous n’avez pas suivi les meilleures pratiques dans la façon dont vous configurez les informations d’identification. Voici quelques bonnes pratiques à prendre en compte :

• Utilisez un gestionnaire de mots de passe qui génère des mots de passe forts dont vous n’avez pas besoin de vous souvenir. Cela peut être le gestionnaire intégré à votre navigateur de choix, ou il peut s’agir d’une application autonome. L’utilisation d’un gestionnaire de mots de passe garantit que vous disposez d’un mot de passe différent pour chaque compte, de sorte qu’une violation d’un compte ne se répercutera pas sur d’autres. (Désolé d’appeler à nouveau la personne qui réutilise letmein123! pour tout, mais il est temps d’affronter la musique.)
• Lorsque cela est possible, utilisez l’authentification à deux facteurs ou à plusieurs facteurs (« 2FA » ou « MFA »). Cela combine un mot de passe avec un deuxième code temporaire ou un accusé de réception provenant d’un endroit autre que votre navigateur Web ou votre session d’application. L’authentification à deux facteurs garantit que quelqu’un qui vole votre mot de passe ne peut pas l’utiliser pour se connecter. Dans la mesure du possible, n’utilisez pas la 2FA basée sur SMS, car elle est plus sujette à l’interception (plus d’informations dans une minute). Des applications comme Authentique, Duo, Authentificateur Google, ou Authentificateur Microsoft peut être associé à une grande variété de services pour générer des mots de passe temporaires 2FA ou pour envoyer des notifications « push » à votre appareil afin que vous puissiez approuver une connexion. Vous pouvez également utiliser une clé matérielle, telle qu’un Yubico YubiKey, pour segmenter davantage l’authentification de vos appareils.

• Configurez une adresse e-mail ou un alias e-mail distinct pour vos comptes Web de grande valeur afin que tous les e-mails les concernant soient séparés de votre adresse e-mail habituelle. De cette façon, si votre adresse e-mail principale est victime d’une fuite de données, les attaquants ne pourront pas utiliser cette adresse pour essayer de se connecter aux comptes qui vous intéressent. L’utilisation d’adresses distinctes pour chaque service présente également l’avantage secondaire de vous permettre de savoir si l’un de ces services vend vos informations personnelles. Il suffit de regarder où et quand le spam commence à apparaître.
• Si vous êtes un résident américain, assurez-vous de réclamer un compte pour votre numéro de sécurité sociale de l’IRS pour l’accès aux informations fiscales et à d’autres fins. Une grande partie de la fraude au remboursement et à la relance au cours des dernières années a été liée à des escrocs qui « réclament » des comptes pour des SSN qui n’étaient pas enregistrés auprès de l’IRS, et démêler ce genre de chose peut être douloureux.
• Inscrivez-vous aux vérifications de violation de compte, soit via le service fourni via votre navigateur (Firefox ou Chrome) soit via Troy Hunt’s haveIbeenpwned.com (ou les deux!). Les services de navigateur vérifieront les mots de passe stockés par rapport aux listes de violations à l’aide d’un protocole sécurisé, et ils peuvent également signaler les informations d’identification réutilisées à risque.
• Envisagez de verrouiller vos rapports de crédit pour réduire les risques d’usurpation d’identité. Equifax fournit une application appelée Verrouillage et alerte cela vous permet de verrouiller votre dossier de crédit de tous les créanciers sauf existants, puis de le déverrouiller à partir de l’application avant de demander un nouveau crédit. TransUnion a une application gratuite similaire appelée Véritable identité. Experian facture 24,99 $ par mois pour verrouillez vos vérifications de crédit, et TransUnion a une version « premium » de son service qui verrouille les rapports TransUnion et Equifax sur demande pour 24,95 $ par mois. En d’autres termes, si vous voulez avoir un contrôle serré sur tous vos rapports de crédit, vous pouvez le faire pour 300 $ par an. (Vous pouvez, avec quelques recherches, trouver les versions gratuites de ces services de gel de crédit—voici Experian et voici TransUnion-mais mec, ces entreprises vraiment, vraiment voulez sortir un tas d’argent géant de votre portefeuille en échange d’un tas de « valeurs ajoutées » très douteuses. )

Quand 2FA ne suffit pas

Les mesures de sécurité varient. J’ai découvert après mon expérience sur Twitter que la configuration de 2FA n’était pas suffisante pour protéger mon compte. Il existe un autre paramètre appelé « protection par mot de passe » qui empêche les demandes de changement de mot de passe sans authentification par e-mail. L’envoi d’une demande de réinitialisation de mon mot de passe et de modification du compte de messagerie associé a désactivé mon 2FA et réinitialisé le mot de passe. Heureusement, le compte a été gelé après plusieurs demandes de réinitialisation, et l’attaquant n’a pas pu prendre le contrôle.

Agrandir / Vue d’artiste de l’authentification à deux facteurs. Dans cet exemple, vous ne pouvez pas vous connecter sans à la fois un mot de passe et un code généré par votre téléphone.

dcdp / Getty Images

Il s’agit d’un exemple de situation où les mesures « normales » d’atténuation des risques ne s’accumulent pas. Dans ce cas, j’ai été ciblé car j’avais un compte vérifié. Vous n’avez pas nécessairement besoin d’être une célébrité pour être la cible d’un attaquant (je ne me considère certainement pas comme tel) – vous avez juste besoin de fuites d’informations qui font de vous une cible tentante.

Par exemple, j’ai mentionné plus tôt que 2FA basé sur des messages texte est plus facile à contourner que 2FA basé sur une application. Une arnaque ciblée que nous voyons fréquemment dans le monde de la sécurité est Clonage SIM— où un attaquant convainc un opérateur mobile d’envoyer une nouvelle carte SIM pour un numéro de téléphone existant et utilise la nouvelle SIM pour détourner le numéro. Si vous utilisez 2FA basé sur SMS, un clonage rapide de votre numéro de mobile signifie qu’un attaquant reçoit désormais tous vos codes à deux facteurs.

De plus, des faiblesses dans la manière dont les messages SMS sont acheminés ont été utilisées dans le passé pour les envoyer vers des endroits où ils ne devraient pas aller. Jusqu’au début de l’année, certains services pouvaient détourner des messages texte, et tout ce qui était requis était le numéro de téléphone de destination et 16 $. Et il existe encore des failles dans le système de signalisation 7 (SS7), un protocole de réseau téléphonique clé, qui peuvent entraîner un réacheminement des messages texte en cas d’abus.