«Pour protéger sa vie numérique, il faut être méfiant par défaut»
Pascal Junod, entrepreneur et cryptographe, a coécrit un ouvrage des bonnes pratiques en matière de protection informatique. Il livre quelques conseils qui peuvent être appliqués par tout un chacun très facilement
XC’est un ouvrage qui touche à un sujet d’actualité, alors qu’arnaques et cyberattaques se multiplient. Cybersécurité et hygiène numérique au quotidien (Ed. Dunod), coécrit avec le professeur français de cybersécurité Gildas Avoine, propose 129 bonnes pratiques à adopter pour se protéger dans son usage des technologies. Le livre se veut le plus accessible possible, alors que le sujet de la cybersécurité est souvent perçu comme aride. L’entrepreneur et cryptographe Pascal Junod, qui l’a coécrit, a partagé au Temps ses meilleurs conseils pour rester maître de sa vie numérique.
S’il ne fallait retenir que trois bonnes pratiques à ne surtout jamais négliger dans sa vie numérique, vous mentionneriez lesquelles? C’est une question difficile! S’il fallait vraiment choisir, alors je dirais qu’il faut impérativement veiller à utiliser des mots de passe solides, avoir une routine de sauvegardes robuste et surtout ne pas hésiter à demander de l’aide en cas de doute…
Et quels seraient vos conseils dans ces trois domaines? Pour les mots de passe, je recommande d’utiliser un gestionnaire, si possible hébergé sur sa propre machine ou alors dans un navigateur web. Cela permet de sauvegarder des mots de passe différents pour chaque service. Bien sûr, pour utiliser le gestionnaire, il faut le protéger par un mot de passe maître. Celui-ci doit être robuste… Concernant les sauvegardes, il faut adopter une routine robuste, c’est-à-dire résiliente en cas de cyberattaque, d’incendie, de vol ou de perte d’appareil. Le mieux est donc d’observer la règle du 3-2-1. Trois copies sur deux supports différents, dont l’une d’entre elles est stockée hors ligne, par exemple sur un disque dur externe.
Vous mentionniez aussi le fait de demander de l’aide… Oui. Lorsqu’on a un doute, il ne faut pas hésiter à en parler autour de soi. Je constate que les gens se gênent beaucoup lorsqu’il s’agit de poser des questions. Pourtant, c’est le meilleur moyen de s’éviter bien des tracas.
Les fraudes et les arnaques se multiplient en ce moment. Quelles sont les principales techniques employées par les attaquants? Il existe une infinité de méthodes. En ce qui concerne le grand public, le risque principal reste l’hameçonnage, c’est-à-dire l’envoi de liens frauduleux qui permettent aux cybercriminels de prendre le contrôle d’un compte, voire d’un appareil. Il faut bien garder en tête que la plupart du temps, les gens ne sont pas visés spécifiquement. Le plus rentable pour les criminels, c’est d’envoyer une immense quantité de messages dans le but de piéger un petit nombre de personnes. C’est très efficace statistiquement.
«Le mieux est d’observer la règle du 3-2-1. Trois copies sur deux supports, dont l’une d’entre elles est stockée hors ligne»
A quoi faut-il prêter particulièrement attention pour ne pas se faire avoir? La clé, c’est d’adopter une posture de méfiance par défaut. Les cybercriminels exploitent en premier lieu la naïveté. Si vous recevez un courriel non sollicité, ou qu’un proche vous envoie un message qui vous surprend, peu importe si tout semble vraisemblable, il faut prendre le temps de vérifier, par exemple en regardant l’adresse de l’expéditeur, ou en contactant directement la personne pour s’assurer qu’elle est bien l’auteure du message.
Vous développez dans votre livre tout un chapitre sur la divulgation, volontaire ou non, de nos données personnelles à travers les technologies numériques. Mais est-ce vraiment un problème si l’on n’a rien à cacher? (Rires.) Cela m’amuse toujours. Les gens disent qu’ils n’ont rien à cacher, mais ils ferment systématiquement la porte derrière eux lorsqu’ils vont aux toilettes. Il ne faut pas être naïf. On peut n’avoir rien à se reprocher à l’égard de la justice, tout en souhaitant conserver une certaine intimité. Lorsque j’entends quelqu’un me dire qu’il n’a rien à cacher, je comprends qu’il n’a pas saisi l’ampleur du problème des données personnelles… C’est-à-dire? Toute information qui devient publique peut être exploitée à des fins malveillantes. Une simple adresse courriel qui figure dans une fuite de données et c’est l’assurance de recevoir davantage de tentatives d’hameçonnage. Je pense qu’il faut un juste milieu entre la passivité totale et le contrôle extrême.
Peut-on vraiment réduire son empreinte numérique dans un monde où tout repose sur le traçage de nos faits et gestes? J’en suis convaincu, même si cela demande des efforts. La situation est toutefois paradoxale. On fait reposer sur l’individu la responsabilité de sa sécurité dans un monde où il y a des fuites de données à tous les niveaux, que ça soit du côté des administrations publiques ou des entreprises. Les utilisateurs sont souvent obligés de communiquer des informations qui ne sont pas forcément indispensables, et ces données sont ensuite gérées par des tiers, avec plus ou moins de diligence. C’est important que les organisations qui récoltent nos données fassent l’effort de n’exiger que ce qui est absolument nécessaire.
Est-ce que vous auriez un conseil à donner aux gens qui veulent faire davantage attention à leur cybersécurité sans se compliquer la vie? C’est une question de formation. Ce n’est pas nécessaire d’apprendre par coeur toutes les pratiques et les appliquer à la lettre. Mais il faut faire preuve de curiosité, se renseigner un minimum sur la manière dont fonctionne l’informatique. Internet est un milieu sauvage. L’école publique a un rôle à jouer dans le domaine de la sensibilisation, car, pour l’heure, je trouve désespérant la manière dont elle traite l’informatique.
Votre livre n’aborde pas la question des IA génératives. Pourtant, beaucoup de spécialistes affirment qu’elles vont augmenter les risques en termes de cybersécurité… C’est vrai, elles sont apparues durant la rédaction de notre ouvrage. C’est encore trop tôt pour avoir un recul suffisant. Je suis toutefois convaincu que le contenu synthétique va exploser. Je le vois déjà d’ailleurs. Certains sites exploitant l’agrégation de contenu pour attirer du trafic et faire de l’argent à travers la publicité commencent à générer du contenu synthétique grâce à l’IA. Reste à savoir si cela va vraiment s’accompagner d’une hausse de la cybercriminalité ou plus simplement d’une évolution des techniques d’attaque.
■