TREASY_site securise (violet)

L’année 2020-2021 a été une année riche d’actualités…

Sur les sujets qui intéressent Treasy également !

 

Nous profitons de cette période estivale pour écrire un nouvel article dans le Blog Treasy, dédié à vous informer sur les meilleures lectures que nous avons eues au cours de l’année écoulée.

 

Cet article contient un résumé des nouvelles et nouveautés relatives aux risques et à la sécurité sur internet, thématiques chères à Treasy comme vous le savez sans doute déjà.

 

Nous parlerons, sous forme de nouvelles courtes, des sujets qui ont fait l’actualité dans ce domaine : sécurité et contexte de crise mondiale, les dernières actualités relatives aux mots de passe, et les conseils autour de l’authentification à doubles facteurs.

 

Nous espérons que tout cela vous intéressera et vous permettra de rester informés et à jour sur ces sujets !

 

Chez Treasy, nous restons attentifs à l’ensemble de ces questions, plus que jamais et avec conviction.

 

N’hésitez pas à commenter cet article ou à poser toute question !

 

En vous souhaitant une très bonne lecture, et vous remerciant pour votre attention.

 

L’équipe Treasy

Cybersécurité et contexte (sanitaire) mondial.

Le FBI a enregistré une explosion du phishing ces deux dernières années. Le phénomène n’est pas nouveau mais il s’amplifie. Le hameçonnage ou « phishing », cette attaque informatique qui consiste à faire croire à une personne qu’elle échange avec un tiers de confiance afin de lui soutirer des données sensibles, est en pleine explosion.

C’est en tout cas ce qui ressort des dernières données du Internet Crime Complaint Center, la branche du FBI spécialisée dans les cyberattaques. Les agents de la police fédérale américaine ont enregistré 241 342 plaintes liées au phishing en 2020. C’est plus du double de l’année précédente où il y en avait eu 114 702. La hausse est même fulgurante au regard des chiffres de 2016 où l’IC3 n’avait reçu « que » 19 465 plaintes.

La crise sanitaire, l’essor du e-commerce qui en a découlé et le télétravail aggravent ce problème préoccupant. Pour expliquer cette progression du hameçonnage, le FBI estime que les cybercriminels ont profité du télétravail. Certaines organisations n’étaient clairement pas prêtes à cette nouvelle réalité et leur politique de sécurité laissait à désirer, de sorte que les cyber-criminels ont profité de ces failles.

 

Outre les phishings, les Américains ont été touché par des extorsions, des usurpations d’identité, etc. Les vols d’identité deviennent un problème récurrent expérimenté par 55 millions de personnes l’an dernier, selon les relevés de la société NortonLifeLock dont il sera plus amplement question ci-dessous.

 

En tout, 330 millions de personnes auraient été victimes d’un cybercrime dans le monde en 2020, et 2700 milliards d’heures ont été perdues à tenter de résoudre les problèmes créées par ces attaques !

Sur un plan plus économique, la police fédérale a estimé que les crimes commis sur Internet ont coûté 4,2 milliards de dollars en 2020, soit une hausse de 700 millions en un an…

 

En France, la tendance est naturellement identique !

 

Les seniors sont des cibles particulièrement visées par les criminels sur internet.

L’Internet Crime Complaint Center, la branche du FBI spécialisée dans les cyberattaques, a constaté dans son rapport publié à l’été 2021 que la probabilité de subir un piratage grandit énormément selon l’âge de l’internaute. Il a calculé également les pertes des plus de cinquante ans lorsque l’attaque est couronnée de succès, et il constate que ces pertes sont également bien plus fortes chez les utilisateurs d’internet plus âgés : plus de 9000 dollars en moyenne pour ces derniers, contre un peu plus de 3000 dollars pour les moins de 20 ans.

 

Face aux risques accrus, les consommateurs se sentent vulnérables et sont de plus en plus nombreux à prendre des précautions en matière de cyber-sécurité.

C’est ce qui ressort d’une étude récente menée par la société américaine NortonLifeLock qui a interrogé des consommateurs issus de dix pays, dont la France. Les internautes interrogés depuis le début de la pandémie s’estiment de plus en plus vulnérables face à la cybercriminalité. Ainsi, 74 % pensent que le télétravail simplifie la tâche des acteurs malveillants. 65 % confirment qu’ils passent bien plus de temps que par le passé en ligne, ce qui augmente les risques selon eux. Et 63 % des personnes interrogées affirment se montrer bien plus prudentes, car elles sont conscientes des risques encourus.

 

Norton s’est aussi intéressé à l’impact psychologique chez les consommateurs victimes de cette délinquance sur le Web. 52 % des répondants se disent « en colère », tandis que 46 % se sentent « stressés », et 31 % ont l’impression d’être sans solution.

 

Mais de bonnes nouvelles nous sont parvenues début 2021 :

Pour faire face aux risques, 48 % des internautes ont décidé de créer des mots de passe plus complexes, et 38 % partagent moins d’informations personnelles sur les réseaux sociaux.

Les internautes se laissent en outre de moins en moins avoir par les tentatives de phishing dont ils font l’objet. D’après un rapport sur le phishing rendu par la société de cybersécurité KnowBe4, au sujet du premier trimestre de l’année 2021, les analystes ont constaté que les internautes sont de plus en plus prudents vis à vis des tentatives de hameçonnage. Seul un tiers des utilisateurs sont tombés dans le panneau d’un e-mail de phishing en cliquant sur un lien suggérant de vérifier leurs identifiants. Ils adoptent donc le plus souvent une attitude de prudence, en contactant les services concernés pour vérifier si les messages sont bien authentiques.

 

La vigilance reste de mise.

 

A phénomène mondial, une réponse mondiale s’impose.

Alors que le phénomène des demandes de rançons sur internet n’inquiétait pas grand monde par le passé, les « ransomwares » sont désormais au cœur des discussions sur la scène internationale. Il faut dire que des attaques majeures sont intervenues au cours des derniers mois dans tous les pays du globe, mettant parfois à mal des sociétés ou des administrations du plus haut niveau…

C’est dans ce contexte particulier que le secrétaire général d’Interpol, Jürgen Stock, a appelé à l’été 2021 les services de police et les partenaires industriels à collaborer contre ce qu’il qualifie de « pandémie du ransomware », par la mise en place d’une collaboration internationale. Selon lui, la meilleure tactique pour perturber les hackers est de mettre en place les mêmes stratégies que celles utilisées pour lutter contre le terrorisme et le crime organisé, proposant l’intervention d’Interpol pour coordonner les actions des Etats et mettre à profit leur expertise en matière de criminalité internationale.

Affaire à suivre !

L’actualité des mots de passe : sont-ils une solution suffisamment sécure ? Ont-ils encore un avenir ?

Le principe du mot de passe, très ancien, s’est imposé mondialement au XXe siècle, avec l’avènement du numérique. Fernando Corbató, ingénieur au MIT, est le premier à utiliser un système à base de mots de passe pour accéder à un ordinateur, en 1961. 

Mais ce sont évidemment l’apparition des ordinateurs personnels dans les années 1980, puis la démocratisation d’Internet dans les années 2000, qui font exploser l’usage des mots de passe.

 

Les mots de passe sont aujourd’hui omniprésents dans notre vie quotidienne. Ils sont en fait tellement nombreux aujourd’hui qu’il faut désormais des applications dédiées – Dashlane, 1Password, LastPass ou d’autres outils – pour les gérer.

En 2015, Dashlane établissait qu’un utilisateur moyen possède 90 comptes et identifiants en ligne et, en 2017, LastPass constate qu’un individu gère en moyenne 191 mots de passe.

C’est sans doute encore plus impressionnant depuis le début de la crise sanitaire et le développement des outils de visioconférence et des plateformes de discussion.

 

Pourtant, quand on interroge les professionnels de la cybersécurité, les mots de passe se révèlent une réponse très insuffisante pour garantir la protection des utilisateurs et de leurs données. 

D’abord, car ils sont stockés sur des serveurs centralisés : une aubaine pour les pirates qui peuvent, en s’introduisant sur un seul système, dérober un nombre considérable de sésames. Les piratages retentissants sont devenus monnaie courante. Rien qu’en 2016, Yahoo reconnaît une faille de sécurité affectant trois milliards de comptes, puis Adobe, eBay, LinkedIn, Sony et Uber, parmi d’autres, connaissent au cours des années suivantes des déboires similaires, exposant les données personnelles de centaines de millions d’utilisateurs.

Ensuite, les usages qui sont faits des mots de passe posent encore problème aujourd’hui. Malgré les conseils répétés des professionnels de sécurité, les bonnes pratiques en matière de choix du mot de passe ont du mal à s’imposer. Il résulte des études les plus récente que les comptes piratés utilisaient souvent « 123456 » comme mot de passe … ou le mot « password » ou les combinaisons « 111111 » et « 12345 » qui figurent toujours dans le top 10 des mots de passe les plus populaires… Voici d’ailleurs le « top 5 » des mots de passe les plus utilisés aux États-Unis et en Europe, à savoir : (1) « 123456 » ; (2) « 123456789 » ; (3) « picture1 » ; (4) « password » et (5) « 12345678 ». En France, le classement est légèrement différent puisque les mots de passe les plus fréquents sont : (1) « 123456 », (2) « 123456789 », puis (3) « Azerty » et (4) « Qwerty ». Trop connus et trop simples, ces mots de passe ne sont pas sécurisés du tout !

Par ailleurs, une étude récente démontre que 11 % des internautes réutilisent les mêmes mots de passe pour tous leurs comptes, tandis que 40 % le font « parfois » pour des comptes qu’ils estiment peu sensibles. En 2020, une étude rappelait d’ailleurs que 91 % d’entre nous savent que l’utilisation d’un même mot de passe ou d’une variante de celui-ci sur plusieurs comptes constitue un risque, mais que… 66 % le font quand même.Enfin, il y a tous les internautes qui croient pouvoir faire confiance à leur mémoire et qui oublient sans cesse leurs mots de passe dès qu’ils sont trop complexes ou qu’ils diffèrent d’un site à l’autre.

 

Et qui sont les utilisateurs de mots de passe les plus imprudents d’après vous ? On aurait pu penser que les jeunes internautes seraient un peu plus sensibilisés à ce sujet que leurs aînés, mais il n’en est rien.

C’est justement ce qui ressort d’une enquête que vient de mener la société BeyondIdentity auprès de 1 000 citoyens américains. Cette étude nous apprend que 24 % des membres de la génération Z (nés entre 1995 et 2010) déclarent réutiliser leurs mots de passe, contre 14 % des millienials (nés entre 1980 et 2000) et seulement 6% des baby-boomers (nés entre 1945 et 1960) ! De même, le sondage a permis de voir qu’en moyenne 20 % des personnes interrogées ne changent leurs mots de passe qu’une fois par an. Ce chiffre monte à 30 % pour les membres de la génération Z !

 

« Dans toute la chaîne de sécurité numérique, le maillon le plus faible demeure l’utilisateur, qui manque encore de maturité quant à l’importance des données d’authentification. (…) C’est bien pour cela qu’il faut abandonner l’utilisation simple du mot de passe », résume Christelle André-Pons, consultante en cybersécurité. Même au sein des entreprises, les études révèlent que l’usage de mots de passe professionnels forts est loin d’être le principe le plus largement répandu.

Depuis le milieu des années 2010, il paraît clair que le principe de l’utilisation des mots de passe ne convient plus. Les mots de passe sont devenus une sorte de cauchemar, mal-aimé des utilisateurs. « Les mots de passe ne sont pas sécurisés, ils sont mal commodes, coûtent cher et personne ne les aime », publiaitMicrosoft sur son blog en 2018.

Une étude récente a été menée sur plus de 2000 personnes aux Etats-Unis concernant les mots de passe. Il en résulte qu’il y existe chez les utilisateurs (non, vous n’êtes donc pas les seuls !) une « anxiété des mots de passe ». En clair, 64 % des répondants à cette étude ont affirmé qu’ils évitent de se connecter à certains sites web ou comptes parce qu’ils ont oublié leurs identifiants. Dans cette même étude, les internautes américains ont répondu à 70% qu’ils estiment avoir trop de mots de passe différents à retenir, ce qui les conduit à adopter des conduites à risque en matière de sécurité vues ci-dessus.

 

D’innombrables solutions ont été imaginées pour tenter de s’affranchir des mots de passe, y compris des idées extrêmes.

L’implantation de puces électroniques d’identification, des solutions à base de blockchains proposant des solutions d’identification décentralisées où l’usager conserve localement toutes ses données personnelles, et d’autres solutions (comme la biométrie faciale avec l’empreinte rétinienne ou le réseau veineux oculaire par exemple, la reconnaissance vocale, l’empreinte digitale, la fréquence cardiaque, des clés matérielles, des codes QR associant un utilisateur à une identité lors d’une procédure d’authentification, etc.) sont à l’étude pour parvenir à des authentifications sans mot de passe.

Cette dernière est en effet attendue, même par les géants du Web, comme la prochaine avancée majeure dans le domaine du numérique et en matière de transformation numérique. Les entreprises du secteur s’engagent ainsi dans un voyage destiné à permettre de s’affranchir des mots de passe. Mais « À court ou moyen terme, on ne pourra pas éliminer les mots de passe ; ils resteront indispensables, pendant encore longtemps », estime Christelle André-Pons que nous avons citée plus haut.

Les concepteurs des futurs systèmes d’identification personnelle doivent relever un défi aux multiples facettes : garantir un niveau de sécurité de plus en plus élevé, offrir une expérience utilisateur qui demeure simple et conviviale, mais également respecter et préserver la vie privée des citoyens (bien au-delà du RGPD).

Autrement dit, ce qui n’était à l’origine qu’un procédé basique pour s’identifier sur un ordinateur devient aujourd’hui une problématique complexe, à la fois technique, économique et sociétale. On estime qu’au moins cinq années seront encore nécessaires pour pouvoir imaginer pouvoir utiliser d’autres techniques que les mots de passe pour sécuriser des services en ligne.

 

En l’attente de ces évolutions, dont votre Treasy ne manquera pas de s’emparer dès qu’elles seront disponibles et fiables, nous vous recommandons toujours de sécuriser votre coffre Treasy au moyen d’un mot de passe unique et sûr, que vous seul connaissez et mémorisez.

Si vous manquez d’idées, vous pouvez visiter le générateur de mots de passe de la CNIL : ici. Ou encore tenir compte de l’opinion de l’agence britannique National Cyber Security Center (NCSC), qui vient de publier une note de recommandation invitant à utiliser une combinaison de trois mots « choisis au hasard, mais faciles à retenir » plutôt que des variations complexes de lettres, de chiffres et de symboles, car un tel mot de passe serait plus sécurisé : plus long, plus facile à retenir, moins prévisible, plus pratique et donc plus efficace.

 

 Vous pouvez encore renforcer cela avec l’installation d’une authentification à doubles facteurs, pour augmenter encore votre sécurité.

L’authentification à doubles facteurs (2FA) : confirmation d’identité par SMS ou par une application dédiée d’authentification ?

Pendant longtemps, on a expliqué qu’il est important d’utiliser des mots de passe, compliqués au surplus pour que ceux-ci ne soient pas faciles à deviner et donc plus sécurisants pour vos comptes en ligne.

Mais aujourd’hui, cela ne semble plus suffire, puisqu’il est aussi recommandé d’utiliser un système d’authentification en deux étapes.

 

Lorsque vous utilisez une authentification en deux étapes, avoir votre mot de passe ne suffit plus pour accéder à votre compte sur un service en ligne comme Treasy.

En effet, la connexion doit être validée par une seconde étape, comme la saisie d’un code envoyé par SMS, une clé physique de sécurité, ou encore une application d’authentification. (Google Authenticator, Microsoft Authenticator ou équivalent).

 

Par définition, vous réduisez alors considérablement les risques d’être piraté lorsque vous utilisez ces dispositifs de sécurité. « Le taux de compromission des comptes utilisant n’importe quel type de MFA est inférieur à 0,1% de la population générale » comme l’expliquait le directeur de Microsoft fin 2020.

 

Si le fait d’utiliser une forme d’authentification en plusieurs étapes est déjà une bonne chose, il est préférable d’utiliser des méthodes qui ne dépendent pas d’un réseau téléphonique pour la confirmation d’authentification.

Envoi d’un code par SMS ou message vocal sont donc à éviter autant que possible. Ces techniques sont en effet moins sécures puisque, transmises en clair, elles peuvent être interceptées, et donc piratées à leur tour.Et puis, il est vrai qu’il existe encore aujourd’hui des problèmes de fiabilité des réseaux, qui font que les messages ne sont parfois pas transmis ou reçus en temps utiles, empêchant alors l’utilisateur d’accéder à ses comptes.

Pour ces raisons, il est préférable de télécharger (gratuitement mais sans publicité !) et d’utiliser une application d’authentification, qui utilisera une communication chiffrée aidant les utilisateurs à se protéger.

 

Chez Treasy, c’est le choix que nous avons fait pour les utilisateurs qui souhaitent utiliser une authentification à deux facteurs : c’est une application d’authentification qui sera utilisée, à l’exclusion de tout envoi de SMS ou autre message.

Si vous souhaitez découvrir et mettre en service la 2FA pour votre compte Treasy, n’hésitez pas à découvrir le mode d’emploi en vidéo, ici !

Vous avez aimé cet article Treasy ? Si oui, n’hésitez pas à le commenter ou à le partager. Treasy vous en remercie !