Nous voulons tous penser que nous en faisons assez pour protéger nos informations personnelles et financières contre les pirates lorsque nous allons en ligne. Mais près de 300 millions de personnes ont été touchées par 1 862 violations de données d’entreprise l’année dernière aux États-Unis seulement, selon l’organisation à but non lucratif Centre de ressources sur le vol d’identité. Des études antérieures de l’Université du Maryland montrent que les pirates lancent des attaques à peu près toutes les 39 secondes. Savoir repousser ceux en ligne”acteurs de la menace” Avant qu’ils n’aient accès à vos informations et à vos comptes financiers, il faut d’abord savoir comment pensent les pirates. C’est pourquoi certaines entreprises se tournent vers Kevin Mitnick pour obtenir des conseils en matière de cybersécurité. Mitnick est un ancien hacker qui a passé cinq ans dans une prison fédérale après avoir été reconnu coupable de fraude électronique et d’autres crimes en 1995. Au cours des deux dernières décennies, il a été consultant en sécurité informatique dont la société, Mitnick Security Consulting, conseille des clients d’agences gouvernementales à Fortune 500 entreprises comme Microsoft. La cybersécurité personnelle se résume souvent à “un équilibre entre la sécurité et la commodité”, explique Mitnick. La plupart des gens connaissent certaines des étapes de base qu’ils doivent suivre pour protéger leurs données, mais dès qu’elles ne sont pas pratiques à suivre régulièrement, les gens deviennent plus négligents, laissant une fenêtre d’opportunité potentielle ouverte aux pirates. “Plus un consommateur veut de la sécurité, plus ce sera gênant”, a déclaré Mitnick à CNBC Make It. Des tactiques plus simples, comme mieux gérer votre longue liste de mots de passe de compte, à des options plus avancées – dont une qui, selon Mitnick, pourrait améliorer vos chances d’échapper aux pirates de 98% – l’expert en cybersécurité présente plusieurs conseils pour la personne moyenne à la recherche pour renforcer leur sécurité en ligne et éviter de se faire pirater.

Par où commencer : gérer vos mots de passe

“Pour les consommateurs qui ne sont pas des experts techniques ou des consultants en sécurité de l’information, la première chose où les gens font des erreurs est dans la construction de leurs mots de passe”, déclare Mitnick. Si vous avez l’impression d’avoir une liste interminable de mots de passe à retenir, vous n’êtes certainement pas seul. La personne moyenne a plus de 100 comptes en ligne différents nécessitant des mots de passe, selon le gestionnaire de mots de passe en ligne Nord Pass. Plus vos mots de passe sont simples à retenir, plus ils sont faciles à deviner pour les pirates, surtout si vous avez déjà eu des fuites d’informations en ligne lors d’une violation de données et que vous réutilisez régulièrement les mots de passe pour plusieurs comptes différents. C’est pourquoi l’utilisation d’une application de gestion de mots de passe gratuite – il suggère LastPass ou 1Password – “est un must absolu”, déclare Mitnick. L’application peut stocker en toute sécurité tous vos mots de passe, voire en générer de nouveaux, et n’est accessible qu’avec un seul mot de passe principal. Compte tenu de cela, vous devez choisir une clé principale particulièrement difficile à déchiffrer. “Ce mot de passe pour votre mot de passe principal à déverrouiller doit comporter au moins 25 caractères ou plus”, déclare Mitnick. Essayez d’utiliser une phrase simple et complète, comme “Aujourd’hui, je suis allé à la plage”, avec chaque mot en majuscule et des espaces entre les deux avant de se terminer par un signe de ponctuation et éventuellement un chiffre. “C’est facile à retenir”, dit Mitnick. Et, plus important encore, ajoute-t-il, “il sera très difficile pour un attaquant de faire des compromis par la force brute”.

Les gestionnaires de mots de passe peuvent également vous rappeler d’arrêter de réutiliser les mots de passe pour plusieurs comptes, une pratique paresseuse qui, selon Mitnick, peut donner aux pirates une longueur d’avance pour accéder à vos informations. “Ce que font les attaquants, c’est qu’ils trouvent des informations d’identification dans les violations de données”, dit-il. “Et, parce que les gens ont tendance à réutiliser les mots de passe, les acteurs de la menace essaieront ce mot de passe, ou des variantes de celui-ci, car généralement vous pouvez identifier les habitudes des gens dans le choix des mots de passe et les deviner de cette façon.”

Options plus avancées : Authentification multi-facteurs et clés physiques

Plusieurs grandes entreprises technologiques travaillent à un avenir sans mot de passe. Ceux-ci incluent Apple, qui a étendu son Fonction Passkeys vous pouvez donc utiliser une empreinte digitale ou une reconnaissance faciale pour accéder aux applications et aux comptes sur de nombreux appareils Apple. Vous connaissez peut-être également l’authentification multifacteur, que la plupart des institutions financières ou des entreprises technologiques utilisent déjà sous une forme ou une autre. C’est à ce moment que votre banque envoie un code par SMS ou par e-mail pour vérifier votre identité lorsque vous vous connectez. Ces processus d’authentification peuvent toujours être compromis, dit Mitnick. Les logiciels malveillants pourraient permettre aux pirates de voir vos SMS et vos e-mails, et de simples attaques de phishing pourraient aider un pirate à gagner votre confiance, vous amenant à lui envoyer directement les informations de votre compte. Pour une authentification à deux facteurs qui n’est pas “hameçonnable”, Mitnick recommande d’utiliser un logiciel de chiffrement comme FIDO2 ou WebAuthn. Ils peuvent être associés à une clé de sécurité physique, comme une Yubikey, qui ressemble à une clé USB qui se branche sur votre ordinateur. Le cryptage est unique pour vous et votre appareil, et ne peut être déverrouillé qu’avec un code PIN et la clé physique elle-même. Mitnick appelle les clés de sécurité physiques “le niveau de sécurité le plus élevé” lorsqu’il s’agit de se connecter à vos comptes en ligne. L’option est déjà prise en charge par une variété de plates-formes et de services technologiques majeurs, notamment Google, Amazon, Microsoft, Twitter et Facebook. Même ainsi, ce n’est pas toujours infaillible : ces plates-formes vous permettent toujours de vous connecter via des méthodes alternatives, comme l’authentification multifacteur, si vous n’avez pas votre clé de sécurité sur vous.

Une option encore plus avancée qui “élève la barre de 98 %”

Si vous êtes extrêmement sérieux au sujet de la protection de vos informations financières contre les pirates et que vous êtes prêt à consacrer plus de temps et d’argent pour le faire, Mitnick suggère d’acheter un ordinateur ou une tablette séparé spécifiquement pour vous connecter à vos comptes financiers ou à d’autres comptes sensibles et Les données. Il recommande également d’utiliser un gestionnaire de mots de passe distinct uniquement pour cet appareil. Vous pouvez également utiliser un appareil relativement bon marché : les Chromebooks commencent à environ 250 $ et sont actuellement plus à l’abri des logiciels malveillants et d’autres virus que la plupart des appareils, dit Mitnick. Tout cela semble extrêmement “gênant”, admet Mitnick. Mais ces étapes extrêmes augmentent vos chances d’échapper aux tentatives de piratage. “Vous élevez la barre à 98%”, dit-il.

Votre meilleur outil : la sensibilisation