Objectifs de cette publication sur la sécurité de vos informations :
- Comprendre comment vos données sont collectées.
- Identifier les risques concrets pour Monsieur et Madame Tout-le-Monde.
- Apprendre les gestes pour se protéger et réduire la surface d'attaque.
Comment vos données sont-elles collectées ?
Par le biais d'applications sur vos téléphones et sur des sites internet lors de votre navigation, ainsi que par votre FAI lors de l'accès à un site.
Par les fournisseurs de réseaux Wi-Fi publics (gare, aéroport, supermarché, hôtel, etc.).
Par le partage de données entre entités (publicitaires, associations, etc.).
Par les équipements de l'IoT (objets connectés).
Lors de vos paiements par carte bancaire.
Lors de vols d'équipement.
(D'autres méthodes existent mais sortent du cadre de cette vulgarisation.)
Quelles données sont concernées pour votre sécurité ?
La liste n'est pas exhaustive et dépendra du contexte (application et droits accordés, site web, réseau public, etc.), mais on retrouve principalement :
Téléphone :
Bornage du téléphone
Proximité (Bluetooth)
Proximité (Wi-Fi)
Application :
Identifiant unique du téléphone
Accès aux photos/vidéos
Métadonnées des photos
Positions GPS
Données de santé (montre connectée + application)
Accès aux messages
Accès aux contacts
Nom/prénom
Date de naissance
Sexe
Mot de passe
Service concerné
Empreinte de paiement
Langue
Site web :
Empreinte quasi unique du terminal
Adresse IP
Adresse email
Nom/prénom
Date de naissance
Sexe
Métadonnées des photos
Positions GPS
Mot de passe
Orientation sexuelle
Service concerné
Empreinte de paiement
Langue
FAI :
Les URL des sites internet visités (si non chiffrés par HTTPS)
Toutes les informations échangées entre votre terminal et le site (si HTTP)
Les numéros de téléphone appelés
Les SMS (contenu en clair)
Bornage du téléphone
Adresse physique
IBAN
Réseau Wi-Fi public :
Les URL des sites internet visités (si non chiffrés par HTTPS)
Toutes les informations échangées entre votre terminal et le site (si HTTP)
Adresse MAC (identifiant unique de l'équipement)
Plus largement, en cas d'attaque Man In The Middle, toute information qui transite entre les sites et votre terminal.
IoT :
Positions GPS
Structure du logement (cas des robots aspirateurs)
Photos/vidéos
Empreinte vocale
Carte bancaire :
Nature des objets achetés
Prix des objets achetés
Localisation du commerce
Type du commerce
Vol d'équipement :
Toutes les informations stockées sur un terminal
Partage de données entre entités :
Toutes les données citées précédemment
Quel est le problème pour la sécurité de vos informations ?
Lorsqu'il n'y a pas de souci, tout va bien. Cependant, le problème se pose lorsqu'une fuite de données se produit, entraînant une compromission de ces informations sensibles. Cela peut être dû à plusieurs facteurs : un serveur mal configuré, une exfiltration de données par un employé peu scrupuleux, ou même le vol direct d'un support de stockage.
En matière de sécurité, il est plus réaliste de parler en termes de "quand" plutôt que de "si". Un jour ou l'autre, vous serez confronté à l'une de ces menaces. La clé réside dans l'anticipation et la préparation. En mettant en place des stratégies proactives, vous pouvez atténuer au mieux les dégâts potentiels d'une telle situation. Cela inclut la compréansion des risques et la mise en œuvre de protocoles de sécurité.
Quels sont les risques pour vous ?
Je ne vais pas entrer dans les détails des "attaques" ni des techniques de désinformation, car cela fera l'objet d'un autre article. Cependant, voici quelques risques majeurs auxquels vous pourriez être exposé :
Vol d'identité
Vos données personnelles (nom, date de naissance, numéro de sécurité sociale) peuvent être utilisées pour effectuer des achats, contracter des crédits ou commettre des fraudes en votre nom. Un attaquant pourrait ouvrir un compte bancaire ou souscrire un abonnement téléphonique en utilisant vos informations.
Accès non autorisé directe
Un attaquant pourrez acceder directement à un site où vous disposez d'un compte.
Arnaques financières
Vous pourriez recevoir un appel urgent d'un faux "conseiller" qui, en connaissant vos informations personnelles, crédibilise l'échange. Une fois la confiance établie, il vous incite à effectuer certaines actions financières.
Chantage / Harcèlement (sextorsion, doxxing)
Des contenus générés par IA à partir de vos photos ou vidéos peuvent être créés, puis utilisés pour vous menacer de diffusion sur les réseaux sociaux si vous ne payez pas une rançon.
Risques latéraux
Un attaquant peut utiliser vos informations personnelles, ou vos habitudes pour rendre crédible une attaque ciblant l'un de vos proches, exploitant ainsi la confiance et les relations personnelles pour atteindre ses objectifs.
Que mettre en place pour se protéger ?
Avant d'aller plus loin, il est important de se rappeler que le risque zéro n'existe pas. En cybersécurité, l'objectif est de "réduire la surface d'attaque". Cela signifie trouver un compromis intelligent entre "ce que j'ai besoin de faire" et "ce que je devrais faire pour ma sécurité".
Règle principale : appliquer "le droit d'en connaître"
Ne partagez pas d'informations avec quelqu'un qui n'en a pas l'utilité.
Désactivez les fonctionnalités inutilisées
Sur vos appareils, désactivez le GPS, le Bluetooth, le Wi-Fi et le micro lorsque vous ne les utilisez pas.
Méfiez-vous de l'urgence
Si quelque chose semble urgent, c'est probablement une arnaque.
Utilisez des mots de passe uniques
Ne réutilisez pas le même mot de passe sur plusieurs sites.
Optez pour un gestionnaire de mots de passe
Utilisez un gestionnaire avec chiffrement pour stocker vos mots de passe en toute sécurité.
Supprimez les comptes inutilisés
Supprimez les comptes sur les sites que vous n'utilisez plus.
Centralisez vos informations bancaires
N'enregistrez pas votre carte bancaire partout. Utilisez une plateforme sécurisée et éprouvée comme PayPal.
Exigez une carte bancaire avec cryptogramme dynamique à votre banque
Cela ajoute une couche de sécurité supplémentaire.
Maîtrisez vos réseaux sociaux
Limitez la visibilité de vos publications aux "amis" seulement et désactivez la géolocalisation par défaut.
Comprenez avant de consentir
Ne donnez jamais votre consentement sans comprendre les implications.
Soyez prudent avec les photos/vidéos
Ne partagez que ce qui est strictement nécessaire et faites attention aux informations que peuvent révéler vos contenus.
Sensibilisez votre entourage
Informez vos proches des risques pour éviter qu'ils ne soient utilisés dans des attaques latérales.
Surveillez vos comptes bancaires
Vérifiez vos transactions au moins deux fois par semaine.
Ignorez les appels de numéros inconnus
Si c'est important, l'appelant laissera un message.
Vérifiez les fuites de données
Utilisez des outils comme Have I Been Pwned pour savoir si vos données ont été compromises.
Les petits bonus IT pour la sécurité de vos informations :
Maintenez vos systèmes à jour
Assurez-vous que vos systèmes d'exploitation (Windows, Android, Linux, etc.) sont toujours à jour pour bénéficier des derniers correctifs de sécurité.
Téléchargez avec discernement
Ne téléchargez que des logiciels provenant de sources fiables et vérifiées.
Installez avec précaution
Évitez d'installer des applications ou des logiciels dont vous ne connaissez pas l'origine ou la réputation.
Chiffrez vos disques durs
Le chiffrement protège vos données en cas de vol ou de perte de votre appareil.
Utilisez une puce TPM
Une puce TPM (Trusted Platform Module) peut garantir un "kernel lockdown" sécurisé lors du démarrage de votre système.
Bloquez les trackers
Utilisez des extensions de navigateur pour bloquer les trackers qui collectent vos données de navigation.
Limitez les cookies
Configurez votre navigateur pour limiter les cookies aux seuls sites de confiance.
Choisissez un navigateur respectueux de la vie privée
Optez pour des navigateurs comme Firefox ou Brave, qui mettent l'accent sur la protection de la vie privée.
Utilisez un moteur de recherche respectueux
DuckDuckGo est un bon choix pour ceux qui souhaitent éviter le suivi des recherches.
Protégez votre micro et votre caméra
Installez un interrupteur physique sur le micro et un cache sur la caméra pour éviter toute activation non désirée.
Fermez vos sessions
Même pour une courte pause café, verrouillez votre session pour empêcher tout accès non autorisé.