Cinq façons de protéger vos photos personnelles

Il y a un an, une fuite notoire a exposé les photos dénudées de plusieurs célébrités, ouvrant le débat sur la sécurité des mots de passe. Que pouvez-vous faire pour protéger vos comptes ?

Vous rappelez-vous la fuite très médiatisée de l’année dernière, qui exposait les photos intimes de plusieurs célébrités ? Cette histoire n’a pas seulement fait plaisir à beaucoup de gens, elle a également servi d’enseignement.

Par exemple, nombreux sont ceux qui se sont aperçu qu’utiliser le nom de leur animal comme mot de passe n’était pas très sûr, et qu’une authentification à deux facteurs n’est pas seulement une solution pour les geeks informatiques, mais aussi pour les propriétaires d’iPhone.
Les photos, qui ont fait beaucoup parlé d’elles l’année dernière, provenaient du service iCloud d’Apple, où les copies des images créées par les appareils d’Apple étaient enregistrées. Les hackers ont piraté le service d’une manière très simple, utilisant une attaque d’hameçonnage combinée à une attaque par force brute. Pour se rattraper d’une telle faille et afin de protéger ses utilisateurs, Apple a activé l’option d’authentification à deux facteurs (ou 2FA) sur iCloud et a encouragé ses clients à en faire usage à tout moment.

Cependant, l’utilisation de 2FA dans iCloud, ainsi que dans Gmail, Facebook et d’autres services Internet, reste optionnelle. Les gens préfèrent en général sauter cette étape, qu’ils jugent peu pratique et à laquelle ils n’ont pas de temps à accorder.
En même temps, vous pouvez perdre très facilement le contrôle de vos e-mails ou de vos profiles sur les réseaux sociaux, bien que vous ne soyez pas Kim Kardashian ou Kate Upon. Les conséquences peuvent être dévastatrices, notamment si vous travaillez dans une entreprise d’informatique.

Deux verrous valent mieux qu’un

Beaucoup pensent que l’authentification à deux facteurs correspond uniquement au système des mots de passe à usage unique envoyés par SMS. Même si c’est la méthode de 2FA la plus utilisée pour les services Internet, ce n’est pas la seule, et de loin.

En général, 2FA s’apparente à une porte avec deux verrous. L’un d’entre eux correspond à la combinaison traditionnelle d’identifiant et de mot de passe, et le deuxième pourrait être n’importe quoi d’autre. De plus, si deux verrous ne suffisent pas, vous pouvez en ajouter autant que vous en voulez ; toutefois, le processus pour ouvrir la porte pourrait prendre beaucoup plus de temps. De ce fait, il est recommandé de commencer par utiliser au moins deux cadenas.

L’envoi des mots de passe par SMS est un moyen accessible et relativement fiable de s’authentifier, quoique parfois peu pratique. Pour chaque connexion, vous devez d’abord avoir votre téléphone à portée de main, vous devez ensuite attendre de recevoir le SMS et vous devez enfin saisir les chiffres correspondants…

Si vous faites une erreur, ou que vous prenez trop de temps pour saisir le code, vous devez recommancer cette procédure. Si, par exemple, il y a un encombrement du réseau, le SMS pourrait être envoyé plus tard. En ce qui me concerne, je trouve que cela assez pénible.

Si vous n’avez pas de réseau (ce qui est souvent le cas quand vous voyagez), vous ne recevrez pas de mot de passe. Vous pourriez aussi perdre votre téléphone (après tout, c’est possible) et, dans une telle situation, il serait encore plus frustrant de vous retrouver dans l’incapacité d’utiliser un autre moyen de communication.
Afin de vous protéger dans de tels cas, de nombreux services Internet, comme Facebook et Google, vous offrent d’autres options. Par exemple, ils proposent une liste de clés à usage unique que vous pouvez préalablement dresser, imprimer et garder dans un lieu sûr.

De plus, 2FA avec un code à usage unique envoyé par SMS peut se faire non pas à tout moment, mais seulement quand quelqu’un se connecte depuis un appareil inconnu. C’est à vous de voir, de décider l’option qui vous convient le mieux afin de vous protéger, tout dépend de votre niveau de crainte. La méthode reste la même pour toutes les applications qui sont liées à votre compte, comme les e-mails des clients. Une fois que vous saisissez un mot de passe spécialement généré pour elles, les applications seront satisfaites pour un long moment.
À moins que vous ne vous connectiez d’un nouvel appareil tous les jours, activer 2FA par SMS n’est pas si gênant. Une fois qu’il est installé, il marche plutôt bien.

Carte d’identité sur un smartphone

Si vous voyagez beaucoup, il serait judicieux d’activer 2FA via une application spéciale. Contrairement aux SMS, cette méthode d’authentification fonctionne quand l’appareil est hors-ligne. Un mot de passe à usage unique est généré non pas par un serveur mais par un smartphone (néanmoins, l’installation initiale exige une connexion à Internet).
Il y a de nombreuses applications d’authentification, mais Google Authenticator sert de standard dans l’industrie. En plus de Gmail, ce programme comprend d’autres services comme Facebook, Tumblr, Dropbox, vk.com, WordPress et plus encore.

Si vous préférez une autre application qui possède une fonction pack, essayez Twilio Authy. Elle est semblable à Google Authenticator, mais possède deux options utiles en plus.
Tout d’abord, elle vous permet de garder les certificats dans le cloud et de les copier sur d’autres appareils (smartphones, ordinateurs, tablettes et d’autres plateformes, y compris Apple Watch). Même en cas de vol de votre appareil, vous avez toujours le contrôle de votre compte. Lors du lancement de cette application, vous devez entrer un code PIN, puis les clés peuvent être retirées si votre appareil est compromis.
Ensuite, contrairement à Google Authenticator, Twilio Authy peut vous faciliter la vie quand vous commencez à utiliser un nouvel appareil.

Une clé pour les gouverner tous

Les solutions mentionnées précédemment possèdent toutes un grand défaut. Cette protection ne semble pas fiable si vous voulez utiliser le même appareil pour vous connecter, pour avoir une application qui génère les clés 2FA ou pour recevoir les SMS avec les mots de passe à usage unique.

Les jetons d’authentification fournissent un niveau élevé de protection. Il y a de nombreuses variantes de ceux-ci, ils peuvent se différencier par l’état ou la forme et pourraient correspondre à des jetons USB, des cartes à puce ou des jetons avec un affichage numérique ; toutefois, le principe reste le même. En général, ce sont de mini-ordinateurs qui génèrent des clés à usage unique sur demande. Les clés sont inscrites manuellement ou automatiquement, via une interface USB, par exemple.

De telles clés matérielles ne dépendent pas de la couverture du réseau, du téléphone ou d’autre chose, elles font juste leur travail, et rien de plus. Toutefois, elles sont achetées séparément, et pour certaines personnes, il est plutôt difficile de ne pas perdre un de ces gadgets si petits.
Généralement, de telles clés sont utilisées pour protéger les services Internet bancaires, les systèmes des entreprises et d’autres choses importantes. En même temps, vous pouvez utiliser une belle clé USB pour sécuriser votre compte Google ou WordPress, à condition que la clé USB soit compatible avec les spécifications ouvertes de FIDO et d’U2F (comme les célèbres jetons YubiKey).

Montrez votre puce implantée !

Les clés matérielles traditionnelles assurent un niveau de sécurité élevé, mais elles ne sont pas très pratiques à utiliser. Vous pouvez vous lasser de devoir brancher une clé USB à chaque fois que vous avez besoin d’accéder à un service en ligne, et elle ne peut pas se brancher à un smartphone.

Ce serait beaucoup plus simple d’utiliser une clé sans fil, qui serait envoyée par Bluetooth ou par communication en champ proche (NFC). D’ailleurs, il est désormais possible de le faire grâce aux nouvelles spécifications de FIDO U2F qui ont été présentées cet été. Une étiquette, qui servirait à identifier l’utilisateur légitime, peut se trouver de partout : dans un porte-clés, une carte bancaire ou même une puce NFC implantée sous la peau. N’importe quel smartphone serait capable de lire cette clé et d’authentifier l’utilisateur.

Un, deux, et plus encore

Néanmoins, le concept général de l’authentification à deux facteurs est dépassé. En fin de compte, les services importants comme Google et Facebook utilisent (discrètement) des analyses factorielles multiples pour sécuriser l’accès. Ils évaluent l’appareil et le navigateur utilisés pour la connexion, ainsi que les tendances d’emplacement et les modèles d’utilisation. Les banques utilisent des systèmes similaires pour repérer les activités frauduleuses.

Par conséquent, à l’avenir, il y a de forte chance que nous dépendions des solutions factorielles multiples avancées. Elles sont très pratiques et très sûres. L’un des meilleurs exemples pour illustrer cette approche est le projet Abacus, qui a été présenté lors de la récente conférence de Google I/O.

Dans la nouvelle réalité, votre carte d’identité ne serait pas seulement vérifiée avec un mot de passe mais plutôt par de nombreux facteurs différents : votre emplacement, ce que vous êtes en train de faire, votre manière de parler, votre respiration, votre battement de cœur, si vous utilisez des cyber-prothèses, etc. L’appareil qui pourrait sentir et identifier ces facteurs serait donc votre smartphone.

Voici un exemple : les chercheurs suisses utilisent les bruits alentours en tant que facteur d’authentification.
L’idée qui se cache derrière ce concept, que les chercheurs appellent Sound-Proof (insonorisé), est très simple. Une fois que vous essayez d’accéder à un certain service à partir de votre ordinateur, le serveur envoie une demande à une application qui a été installée sur votre smartphone. Puis, l’ordinateur et le smartphone enregistrent les bruits alentours, qu’ils transforment en une signature numérique, qu’ils chiffrent et qu’ils envoient au serveur pour les analyser. Si les bruits correspondent entre eux, ils constituent alors la preuve qu’un utilisateur légitime essaie d’accéder à un compte à lui.

Bien sûr, cette approche n’est pas idéale. Que se passerait-il si un criminel s’asseyait à côté d’un utilisateur dans un restaurant ? Dans ce cas, les bruits alentours seraient pratiquement les mêmes. Par conséquent, il devrait y avoir d’autres facteurs pour empêcher que votre compte soit compromis.
Finalement, Sound-proof et Abacus représentent la sécurité de demain. Quand ils seront commercialisés, les menaces et les défis de la sécurité des informations auront sûrement évolués d’ici là.

Quant à la réalité d’aujourd’hui, assurez-vous d’avoir activé 2FA. Vous pouvez trouver des instructions sur son installation pour la plupart des services de sites Internet, comme Telesign Turn It On.

Conseils