Soyez paranoïaque, vous êtes une cible

Même si vous n'êtes pas en charge de la sécurité d'état, vous êtes une cible pour beaucoup de raisons :

  • Vous avez de l'argent, vous avez sûrement déjà ou vous allez très probablement faire des achats sur internet (billets de train, matériel informatique) ou régler vos impôts en ligne, et les banques vous donnent accès à une interface de gestion à distance ; lors de tels usage, il existe beaucoup de moyens de vous induire en erreur et vous extorquer de l'argent.
  • Vous avez des moyens de payement indirect : numéros surtaxés, SMS surtaxés, mettant en œuvre des arnaques de plus en plus inventives (arnaque au rappel, arnaque à l'avis de passage pour un colis fantôme, virus sur smartphone).
  • Vous êtes une cible marketing : vos coordonnées et votre carnet d'adresse peuvent rapporter à leur revente.
  • Vos outils peuvent leur être utiles : utiliser votre adresse e-mail pour profiter de votre autorité et de votre capital confiance auprès de vos contacts pour les induire en erreur et les attirer dans une arnaque.
  • Et n'importe quelle nouvelle idée qui pourrait surgir dans les cerveaux, pour certains astucieux, de ces personnes malveillantes.

Votre château fort

Comme il n'est pas possible d'appliquer une sécurité maximale à tous vos usages de codes d'accès, il faut établir des périmètres de sécurité graduellement plus élevée.

Votre donjon

C'est votre adresse e-mail et votre carnet d'adresse : votre adresse e-mail est souvent le moyen de récupérer ses mots de passe en cas de piratage d'un compte sur un site web, c'est aussi là où votre correspondance transite et est souvent stockée ; il ne faudrait pas que vous perdiez accès à ce dernier recours en cas de problème, ni que vous soyez l'intermédiaire d'une arnaque auprès de vos proches.

C'est aussi vos moyens de payement directs et indirects : carte bancaire, interface avec la banque, téléphone portable.

C'est parfois vos trousseaux de mots de passe (OpenID, trousseau Firefox, trousseau Mac OS X etc.)

C'est enfin également la clé de chiffrement de vos données (disque dur chiffré etc.)

Dans ce qui doit être le noyau de votre sécurité :

  • Utilisez un mot de passe fort (voir plus loin).
  • N'écrivez jamais les mot de passe, retenez-les (c'est le plus difficile dans cette politique de mots de passe).
  • Ne donnez jamais ce mot de passe à un site tiers : je pense aux sites sociaux qui vous invitent à importer votre carnet d'adresse depuis GMail, Yahoo ou Hotmail, c'est souvent pour utiliser ces données à leur seul profit : invitations non sollicitées, revente de listes de contact, parfois même vous induire en erreur pour utiliser eux-même votre adresse e-mail;
  • N'utilisez jamais plusieurs fois le même mot de passe : c'est comme si vous donniez votre mot de passe d'un service à un autre service, et s'il est divulgué vous perdez tout.
  • Changez ce mot de passe une fois tous les 24 mois au moins si possible.

Votre ville fortifiée

Ce sont les différents usages sur les multitudes de services en ligne : réseaux sociaux, forums, etc.

  • Utilisez toujours des mots de passe forts (voir plus loin) et toujours différents : c'est possible ! voir la suite.
  • Vous ne pouvez pas retenir tous ces mots de passe : écrivez-les dans un carnet (voir plus loin), enregistrez-les dans votre navigateur si votre navigateur vous permet de chiffrer le trousseau (Firefox le permet : Outils > Options > Sécurité > Utiliser un mot de passe principal)

Votre pré carré

C'est la prudence éclairée de vos usages.

  • Ne donnez pas votre mot de passe à un tiers
  • Ne naviguez pas sur des sites douteux
  • N'installez pas d'extensions ou de logiciels douteux : les logiciels pirates sont souvent truffés de logiciels malveillants, certains logiciels gratuits également, de manière surprenante : CarbonCopyCloner vous installe par exemple une porte dérobée, Daemon Tools est identifié comme malware probablement pour d'aussi bonnes raison, le petit chat qui se ballade sur vos fenêtres de Windows également !
  • Arrêtez de diffuser des powerpoints avec des photos attendrissantes et des animations, des poèmes, des citations et de la musique : c'est la plupart du temps vecteur de virus

Un mot de passe fort

Savez-vous qu'un accès protégé par un mot de passe de moins de 8 caractères est susceptible d'être "craqué" en bien moins de 24h ? et un mot de passe trop classique en quelques secondes seulement ? (voir cette estimation)

Ainsi : créez un mot de passe :

  • utilisant des majuscules, des minuscules, des chiffres, et de la ponctuation.
  • de longueur de 10 caractères au minimum.
  • aléatoire : une technique consiste à pointer avec son doigt une touche du clavier en fermant les yeux.

Un carnet de mots de passe

Quand vous écrivez vos mots de passe, ne les dispersez pas, vous les perdrez sans vous en rendre compte ; utilisez un petit carnet et des notes autocollantes à l'intérieur (comme vos mots de passe changent de temps en temps, vous évitez les ratures). Ne perdez pas ce carnet ! en cas de perte, comme ce sont des sites moins importants, vous pourrez très probablement récupérer vos compte grâce aux outils de récupération de mots de passe qu'ils proposent, puisque vous avez toujours accès à votre adresse e-mail, et vos trousseaux de clés (navigateur, OpenID). Par sécurité, vous pouvez lister les services sur lesquels vous avez un compte et garder cette feuille à la maison ou en ligne (n'écrivez pas vos mots de passe sur ce document).

(N.B. pour ceux qui me cibleraient : rien ne vous intéresse dans mon carnet, ce n'est pas la peine de me braquer.)