Les 3 règles d'or

1. Avoir un mot de passe solide, c’est la base

Se créer une identité numérique fiable et sécurisée n’a rien de compliqué. Il suffit de suivre quelques règles simples et d’employer des outils adaptés.

Au départ, on choisit un nom d’utilisateur et un mot de passe solides.

• Le premier doit être unique et dur à deviner ;
• le second, complexe dans sa dénomination et difficile à pirater – pour cela, rien de tel qu’une combinaison de lettres, de chiffres et de symboles.

Par ailleurs, il convient de se doter d’une adresse mail et d’un mot de passe unique par site, forum, logiciel, etc. C’est indispensable. Ainsi, si une fuite de données a lieu, les autres accès ne sont pas mis en danger. De nombreux sites génèrent gratuitement des mots de passe sécurisés – parmi eux, ceux de la Cnil (1) et de 1Password (2) sont recommandés (jamais de mot de passe avec uniquement des lettres). Installer un antivirus sur son ordinateur et recourir à un service de gestion de mots de passe pour les conserver en toute sécurité constituent deux autres bonnes pratiques.

2. Opter pour la double authentification

La double authentification, ou 2FA, ajoute une couche de protection. Elle doit faire partie du quotidien de tout consommateur. Une boutique ou un site la propose ? On les choisira en priorité, en particulier pour des achats en ligne.

Comment ça marche ?

En général, pour s’identifier sur un site sécurisé par la 2FA, on doit fournir un code à usage unique et limité dans le temps en plus du traditionnel duo identifiant (adresse mail/numéro de téléphone) et mot de passe. La méthode la plus sûre à ce jour est celle qui recourt à une application d’authentification téléchargée sur smartphone (Google Authenticator (3), Microsoft Authenticator (4), Authy by Twilio (5), etc.). Pour mettre en place un accès sécurisé la première fois, on scanne, avec l’appli d’authentification, un QR code envoyé par le site sur lequel on a un compte. Ce dernier est ainsi lié à l’application, laquelle générera ensuite des codes uniques valables quelques secondes à chaque connexion.

La vérification en deux étapes peut se faire d’autres manières, par exemple par e-mail, SMS ou appel téléphonique automatisé. Il est fortement conseillé de doubler cette seconde vérification : application + courriel, ou courriel + SMS. Attention, s’il existe plus de 60 outils dédiés à la 2FA, certains sont destinés à un seul service – c’est le cas, par exemple, chez les éditeurs de jeux vidéo (Ubisoft, Steam, etc.). Prudence ici : si le mot de passe est perdu, que le téléphone est cassé ou que l’appli est effacée par mégarde, il n’y a plus d’accès possible à l’espace protégé par la 2FA ! Il faudra des démarches longues et fastidieuses auprès du site pour le convaincre de le rouvrir.

3. Utiliser un VPN, si l’on est en déplacement

Pour les grands voyageurs, les réseaux privés­ ­virtuels (VPN) constituent une bonne solution de protection. Il en existe des dizaines sur le marché (VyprVPN (6), Proton VPN (7), etc.). Attention, ceux rendus les plus visibles par la publicité ne sont pas forcément les meilleurs ! Pour rappel, un VPN masque l’adresse IP (8) de l’utilisateur puis chiffre le trafic internet entre ce dernier et ce qu’il visite (boîte électronique, forum, site, etc.). Le but : rendre ces allers-retours impénétrables pour les escrocs qui les intercepteraient, et l’internaute plus difficile à suivre pour des tiers (sites web, pirates, etc.).

Rappelons toutefois que passer par un VPN ne signifie pas rester anonyme, loin de là : les fournisseurs de ces réseaux virtuels connaissent leurs clients, car ces derniers leur livrent des informations personnelles pour se connecter… Bref, dans tous les cas, dès que l’on est amené à partager certaines données, il faut s’assurer de le faire de manière sécurisée. 

(1) Cnil.fr/fr/generer-un-mot-de-passe-solide
(2) 1password.com/fr/password-generator
(3) Disponible sur Google Play et l’App Store
(4) Microsoft.com/fr-fr/security/mobile-authenticator-app
(5) Authy.com
(6) Vyprvpn.com
(7) Protonvpn.com
(8) Une adresse IP (Internet Protocol Address) est une série de nombres uniques identifiant un appareil connecté.