En 2024, nous avons appris que 90% des brèches de cybersécurité proviennent d’une erreur humaine. Ce chiffre illustre une réalité : inutile de se barricader derrière des dizaines de protocoles complexes si nous ne maîtrisons pas quelques réflexes de base. Nous vivons dans un monde où 43% des cyberattaques visent les petites structures, et où le coût mondial de la cybercriminalité dépasse les 6000 milliards de dollars. Face à ces menaces, nous devons trouver un équilibre entre prudence raisonnable et obsession paralysante. Protéger nos comptes en ligne ne signifie pas transformer chaque connexion en parcours du combattant. Nous allons examiner les risques concrets, les pratiques qui fonctionnent vraiment, les outils accessibles et les erreurs courantes qui nous exposent inutilement.
Risques réels aujourd’hui
Nous constatons que les menaces évoluent constamment, et certaines techniques frappent par leur efficacité redoutable. Le détournement de carte SIM, ou SIM Swap, représente une vulnérabilité majeure. Un pirate se fait passer pour nous auprès de notre opérateur en prétextant une perte ou un vol de téléphone. Une fois la nouvelle carte activée, il intercepte tous nos SMS et appels, y compris les codes d’authentification à deux facteurs. En 2018, une jeune femme de Vannes s’est fait dérober 2000 euros par cette méthode. Des célébrités comme Selena Gomez ont subi le même sort. Cette technique s’industrialise progressivement, avec des groupes organisés qui vident les comptes bancaires de centaines de victimes pendant des mois.
Le phénomène prend racine dans l’ingénierie sociale. Les hackers récupèrent notre numéro de sécurité sociale et notre adresse via diverses sources, puis convainquent l’opérateur de leur légitimité. Le protocole SS7, utilisé par les opérateurs pour communiquer entre eux, présente des failles exploitables. Nos comptes de réseaux sociaux possèdent une valeur marchande non négligeable sur le Dark Web, atteignant parfois plusieurs milliers de dollars. Certains pirates vont jusqu’à soudoyer des employés d’opérateurs pour accéder à l’intégralité des données de nos téléphones.
Nous devons également considérer que 94% des cyberattaques démarrent par un email. Une nouvelle vague d’attaques ClickFix propage des voleurs d’informations sur macOS en publiant des guides d’utilisation malveillants sur le site officiel de ChatGPT. Nous sommes confrontés à des centaines de milliers de nouveaux programmes malveillants chaque jour. La cryptomonnaie a rendu le business cybercriminel extrêmement lucratif et sans risque pour les pirates, permettant rançon, chantage et harcèlement comme moyens de pression. Depuis la crise sanitaire, les cybermenaces ont explosé de 400%, et 62% des organisations mondiales ne se sentent pas équipées pour y faire face.
Pratiques essentielles
Nous recommandons vivement d’abandonner l’authentification à deux facteurs par SMS. Cette méthode n’est plus une muraille infranchissable face au SIM Swap. Instagram, Facebook et Twitter permettent encore cette authentification malgré leurs annonces d’abandon il y a plusieurs années. Google a pris la mesure du problème dès 2017 en préférant l’envoi de notifications sur le téléphone. Nous devons opter pour la génération d’un mot de passe dans une application mobile dédiée, comme Google Authenticator, qui utilise des QR Codes à scanner manuellement.
Une directive européenne de 2015, entrée en vigueur le 14 septembre 2019, a durci la méthode pour valider un paiement en ligne. Le SMS de validation ne suffit plus : nous devons aussi fournir une information que nous seuls connaissons, un objet que nous seuls possédons, ou une caractéristique biométrique. Cette triple exigence réduit considérablement les risques, même si les banques ont obtenu le maintien de la seule validation par SMS pour les paiements inférieurs à 30 euros.
Nous devons demander à notre opérateur s’il permet d’utiliser un mot de passe supplémentaire pour tout échange de carte SIM. Aux États-Unis, AT&T, T-Mobile et Verizon permettent à leurs clients d’ajouter un code d’accès nécessaire pour tout transfert de numéro. En France, les opérateurs communiquent peu sur ce sujet, bien que des clients de SFR aient raconté en 2018 avoir été victimes de fraudes bancaires à cause de la négligence des agents. Les opérateurs développeraient actuellement des systèmes d’IA pour lutter contre le SIM Swap, délivrant un « score de véracité » pour tout papier d’identité scanné.
Nous devons également supprimer notre numéro de téléphone de tout compte pouvant intéresser les pirates. Nous pouvons utiliser un numéro VoIP comme Google Voice, à l’épreuve des détournements de carte SIM. Si notre smartphone bascule subitement sur le mode « appels d’urgence uniquement » ou affiche « carte SIM désactivée/absente », nous devons immédiatement contacter notre opérateur ou nous rendre dans une boutique pour prouver notre identité. La solution eSIM ou carte SIM virtuelle, déjà disponible sur les smartphones de Google via de nombreux opérateurs européens et américains, représente une piste prometteuse, même si Orange, SFR et Bouygues Telecom travaillent encore activement pour proposer ce service.
Outils simples à utiliser
Nous privilégions un gestionnaire de mots de passe pour générer des combinaisons longues et uniques pour chaque compte. Ce type d’outil permet un stockage sécurisé et une génération automatique. Selon la CNIL, l’association d’un gestionnaire et de l’authentification à deux facteurs réduit nettement le risque d’usurpation. Nous devons installer un gestionnaire réputé, activer le remplissage automatique sécurisé, générer des mots de passe uniques par compte et faire une sauvegarde chiffrée du coffre. Une phrase de passe mémorisable et longue offre une bonne résistance aux attaques ciblées.
Un VPN fiable permet le chiffrement du trafic sur Wi-Fi public avec un niveau de confidentialité élevé sur Windows, macOS, Android et iOS. Nous devons désactiver le partage automatique de fichiers sur Wi-Fi, préférer un VPN lors d’un réseau public, vérifier le certificat des sites sensibles, limiter le Bluetooth et le partage de données. Nous évitons d’utiliser un hotspot WiFi public non sécurisé. Un bloqueur de publicités réduit le pistage publicitaire via des extensions navigateurs. Un navigateur axé vie privée ne conserve pas les historiques, offrant un niveau élevé de confidentialité sur desktop et mobile.
Pour sécuriser un smartphone, nous faisons attention aux autorisations demandées lors de l’installation d’une application et téléchargeons uniquement depuis les markets officiels. Nous recommandons une utilisation raisonnée, en application des mesures d’hygiène de base : antivirus à jour, attention aux autorisations, téléchargement depuis les sources officielles. Une bonne mesure de la sensibilité des informations sur nous, notre famille, nos amis ou notre travail que nous mettons dans notre smartphone demeure essentielle.
Erreurs fréquentes
Nous constatons que partager des informations personnelles sur les réseaux sociaux expose inutilement nos comptes. Ne pas laisser traîner date de naissance, noms et prénoms, et toute autre information susceptible de fournir des indices aux hackers constitue une règle de base. Nous devons vérifier régulièrement les paramètres de confidentialité et supprimer les comptes inutilisés selon l’ANSSI. Ne pas partager localisation et données sensibles publiquement, restreindre l’audience de chaque publication importante, éviter les informations personnelles dans les photos partagées et supprimer anciens comptes et publications inutiles réduisent considérablement les erreurs courantes en cybersécurité.
Nous ne devons surtout pas laisser traîner des scans de documents d’identité sur notre ordinateur, smartphone, en ligne, ou sur un appareil qui ne nous appartient pas. Google My Activity recense toutes les actions entreprises sur smartphone : historique de recherches Google et Youtube, applications lancées, historique des déplacements. Si notre mot de passe Google tombe entre de mauvaises mains, un cybercriminel pourrait utiliser My Activity pour connaître nos habitudes de déplacement et savoir quand nous ne sommes pas chez nous. Google a mis en place des panneaux de configuration pour gérer notre vie privée, et nous pouvons choisir de nous « retirer » et de couper toutes émissions de données personnelles.
Nous observons que maintenir les mises à jour système et antivirus à jour protège contre les logiciels espions et rançongiciels qui ciblent les données personnelles. Un firewall sur l’ordinateur nous prémunit de tout cheval de Troie. L’intérêt des antivirus sur smartphones reste à prouver : prendre nos précautions en évitant de surfer sur des sites douteux ou de télécharger des fichiers tout aussi douteux demeure essentiel. Nous devons avoir un antivirus reconnu et régulièrement mis à jour, des outils de blocage du pistage et des extensions anti-phishing.
Nous avons identifié quelques pratiques à bannir :
- Utiliser le même mot de passe pour plusieurs comptes
- Faire confiance aveuglément aux codes SMS
- Négliger les mises à jour de sécurité
- Partager publiquement notre géolocalisation en temps réel
- Télécharger des applications depuis des sources non officielles
Nous ne sommes pas obligés de devenir paranoïaques pour protéger efficacement nos comptes en ligne. L’idée n’est pas de sombrer dans la parano mais de garder en tête que tout, même ce que nous pensons insubmersible, peut couler un jour. Nous constatons que l’erreur humaine représente 90% des brèches de cybersécurité, ce qui signifie que nous avons un réel pouvoir d’action. En appliquant ces quelques réflexes simples et en utilisant les bons outils, nous réduisons drastiquement notre exposition aux risques sans transformer chaque connexion en cauchemar sécuritaire.
