SUR LA TOILE, RIEN NE VAUT DE BONNES PRATIQUES
Pour vivre heureux, vivons cachés. Mais soyons aussi conscients des dangers et protégeons-nous avec une suite de sécurité et un VPN.
Un nom et un prénom tous seuls, cela ne vaut pas grand-chose pour les marchands de données. Ajoutez une adresse postale, un numéro de téléphone et des habitudes d’achat, cela devient tout de suite plus intéressant. C’est la porte ouverte aux publicités ciblées et aux promotions en tout genre. Accolez-y une adresse mail, et cela devient même dangereux, tant nous centralisons d’informations sensibles dans nos messageries. Pour être recueillie, rappelle cependant Olivier Gayraud, juriste de l’association de défense des consommateurs CLCV, cette donnée à caractère personnelle « doit faire l’objet d’un consentement express de votre part ». Depuis l’avènement du Règlement général européen sur la protection des données (RGPD), les internautes doivent également être informés de la durée de conservation de leurs données personnelles. Les adresses IP (numéros d’identification permanents ou provisoires attribués à toute machine connectée à internet) sont d’ailleurs considérées comme privées depuis un arrêt de la Cour de cassation du 3 novembre 2016. Mais la loi seule ne suffit pas à nous protéger.
Les smartphones aussi ont besoin d’antivirus
Tout comme on ne sort pas de chez soi sans se couvrir un minimum, il vaut mieux surfer sur la Toile bien protégé. Notre partenaire, le laboratoire indépendant AV-Test, évalue depuis plus de quinze ans les suites de sécurité. Un marché qui n’est pas près de s’éteindre. Selon l’institut, quelque 17 millions de malwares sont apparus rien qu’en février.
Si la plupart des internautes protègent désormais leur ordinateur, il précise que la sécurité de nos smartphones reste, quant à elle, lacunaire. Certes, Maik Morgenstern, patron d’AV-Test concède que les iPhone sont moins susceptibles d’être piratés que les autres : « D’abord, les terminaux sous iOS sont moins nombreux que ceux sous Android. Ensuite, ils ne disposent que d’un seul App Store, officiel et contrôlé par Apple. Enfin, leurs mises à jour sont beaucoup plus suivies par les utilisateurs d’Apple, tandis que le système de Google doit composer tant avec les calendriers variés des constructeurs que leurs logiciels maison.»
Or mettre à jour son appareil ne sert pas seulement à obtenir les dernières fonctionnalités, mais aussi et surtout à télécharger les derniers correctifs de sécurité. Alors, quand le suivi sécuritaire d’un système n’est plus assuré, comme celui de Windows 7 par Microsoft depuis le 14 janvier 2020, le conserver devient un véritable problème. D’autant que les éditeurs tiers s’arrêtent à leur tour de publier des correctifs : le support du navigateur Google Chrome pour Windows 7 cessera ainsi le 15 janvier 2022.
C’est toutefois le facteur humain qui constitue souvent l’origine de nombreuses failles d’apparence technique. L’affaire Solarwinds est à ce titre éloquente. Cette entreprise texane, éditrice du logiciel de gestion de réseau Orion, a, malgré elle, favorisé une attaque de grande ampleur aux États-Unis. Elle a touché une centaine d’entreprises ainsi que les départements du Trésor et du Commerce.
17 millions de nouveaux malwares ont été recensés rien qu’en février
Plus de deux mois après la découverte de l’attaque, les dirigeants de la société blâment un stagiaire qui aurait fait fuiter un mot de passe. Une clé de sécurité fragile, qui n’était autre que « solarwinds123 » !
L’erreur est (souvent) humaine
Vous aurez beau mettre en place toutes les protections logicielles – parefeu, antivirus, antispyware (contre les logiciels espions) – que vous voudrez, vous ne pourrez faire l’économie d’un minimum de bonnes pratiques, de comportements à adopter pour ne pas vous exposer. Pour les particuliers, la problématique n’est pas différente. Nous avons vu (lire p. 39-41) que les conséquences peuvent être dramatiques pour ceux qui laissent s’échapper des informations sensibles.
Ludovic Broyer, qui a fondé iProtego, une agence d’e-réputation basée à Marseille, sait mieux que personne la valeur des données personnelles. Et à quel point leur fuite gâche durablement la vie des clients qui le chargent de faire place nette sur le web et les réseaux sociaux. Il les compare d’ailleurs à un iceberg : « Il y a la toute petite partie visible que l’on veut bien montrer, qui nous valorise. Et tout ce qui relève de la vie privée, qu’on ne veut pas exposer », résume-t-il. Nous lui avons demandé quels étaient les principaux réflexes à adopter pour limiter les risques. Deux commandements en sont ressortis : « Éviter de disséminer ses données » et « Les sécuriser correctement ».
La vie courante nous incite pourtant de plus en plus souvent à nous inscrire à des services, que ce soit pour bénéficier d’une promotion ou pour utiliser le moindre logiciel. Ludovic Broyer recommande alors « de ne remplir les champs demandés avec sa vraie identité que lorsque cela est vraiment nécessaire ». Évidemment, nous n’avons pas vraiment le choix quand nous avons affaire aux services du fisc ou de l’Assurance maladie. Mais est-ce bien nécessaire, par exemple, pour une application qui rajoute des masques cartoonesques sur nos selfies?
Réserver une boîte mail pour ces inscriptions, se créer un alias digital constituent le b.a.-ba. Ludovic Broyer nous enjoint également de nous « intéresser aux données personnelles collectées hors du web ».
Une confiance aveugle envers les grandes enseignes
Notre expert pense notamment aux cartes de fidélité des grandes enseignes commerciales. D’après un sondage Ipsos*, 95 % des Français en possèdent au moins une. Et même 99 % selon l’Observatoire de la fidélité et de la fidélisation clientèle, qui ajoute que 58 % en détiennent entre trois et dix. Nous livrons donc volontairement quantité d’informations à ces entreprises qui créent ensuite des fichiers, établissent des profils à notre sujet.
Si la plupart des marchands semblent dignes de confiance, en 2014, la CLCV a recensé de nombreux manquements dans le recueil du consentement des consommateurs pour le transfert de leurs données personnelles, obligation dont dispose la loi Informatique et Libertés du 6 janvier 1978. Mais après tout, quelle importance que Boulanger ou FnacDarty sache que j’ai acquis un ordinateur portable et une enceinte nomade Bluetooth? Je vais au pire recevoir des publicités en rapport avec ces achats. Sauf que, rétorque Ludovic Broyer,
« S’il n’est pas nécessaire de fournir mes données, alors j’évite de le faire »
Ludovic Broyer, fondateur d’iProtego
« rien ne garantit que l’enseigne ne se fasse jamais hacker. Quand je lis la presse spécialisée, il ne se passe pas une semaine sans que je voie des piratages, du ransomware (demande de rançon contre restitution desdites données, NDLR), du vol de fichiers et des failles de tous les côtés. »
Ce risque hypothétique, mais pour autant bien réel, ne peut de surcroît être anticipé. Alors, Ludovic Broyer propose d’appliquer la maxime suivante : « S’il n’est pas nécessaire de fournir mes données personnelles, alors j’évite de le faire. » Olivier Gayraud rappelle aussi que, selon le RGPD, « quand une entreprise doit vous livrer un pantalon, elle ne peut vous demander d’autres informations que le strict nécessaire à cette livraison ». Le juriste explique que le danger augmente quand les fichiers sont « consolidés », c’est-à-dire croisés avec d’autres. Une pratique courante que la loi n’interdit pas, à partir du moment où le consommateur a été informé de la transmission de ses données.
Attention aux informations laissées sur les réseaux sociaux
De même, le RGPD dispose que les données ne peuvent être indéfiniment conservées. Paige Hanson, chef de l’éducation à la cybersécurité de NortonLifeLock, conseille cependant de « supprimer ou de fermer tous les comptes que vous n’utilisez plus. Ceci est particulièrement important pour les réseaux sociaux, avec lesquels vous devez faire preuve d’une prudence accrue quant au type d’informations que vous donnez et que vous laissez derrière vous. Votre date de naissance, le nom de jeune fille de votre mère, votre anniversaire de mariage ou le surnom de votre animal de compagnie sont autant de petites informations que les escrocs peuvent utiliser pour essayer de se faire passer pour vous ou d’obtenir l’accès à vos comptes ».
Il reste encore beaucoup de conseils à lister pour dresser un tableau exhaustif des bonnes pratiques de sécurité. Mais nous ne saurions assez insister sur le fait que même si les escrocs et pirates sont extrêmement inventifs, quelques mesures simples permettent de limiter drastiquement les risques. À l’heure où vie privée et vie professionnelle ont tendance à s’imbriquer de plus en plus, pensez à
ne pas vous exposer d’une manière que vous pourriez par la suite regretter. En 2012, la Commission nationale de l’informatique et des libertés lançait ainsi, à l’adresse des jeunes, une campagne intitulée « Réfléchissez avant de cliquer ». Elle sensibilisait aux conséquences d’un partage immodéré et sans discernement de vidéos sur les réseaux sociaux. Dans la vie comme sur le Net, chacun est acteur de sa sécurité.
* Réalisé pour l’agence in-Store Media auprès d’un échantillon de 1000 Français interrogés par internet du 9 au 12 avril 2019.