Dimanche dernier, France 2 a consacré quelques minutes de son journal de 20H à la sécurité sur Internet.
L’annonce, “Les pirates informatiques ont-ils toujours une longueur d’avance?” semblait des plus intéressantes, mais finalement le reportage a surtout évoqué la capacité des “hackers” à deviner les mots de passe utilisés sur le web.
Bien loin de refléter la complexité et les dangers des cyberattaques, ces informations ont tout de même eu le mérite de rappeler que le rôle des utilisateurs dans leur propre sécurité est très important.

La sécurité, l’affaire des utilisateurs

Les témoignages des passants interviewés par France 2 sont très représentatifs, car ils correspondent aux statistiques calculées sur des bases de données de mots de passe volés (qui sont réellement volés par millions, et non pas « devinés » par des hackers).

1er témoignage sélectionné

“J’ai un mot de passe pour tous mes comptes. Parce que j’ai une très mauvaise mémoire donc au moins je sais que je ne vais pas me tromper!”

Cela est en effet pratique, mais si quelqu’un devine ce mot de passe, ou le vole sur un seul site, il sera en mesure de pirater tous les comptes du même utilisateur.
Cela revient à peu près à utiliser la même serrure pour toutes les portes de sa maison (portail extérieur, garage, portes d’entrées et portes intérieures comprises!).

2ème témoignage sélectionné

passant : “Mot de passe? ‘Mickey’ ”
journaliste : “C’est votre mot de passe? Et vous le dites à tout le monde?”
passant : “Non, c’est parce que vous me le demandez…”

  • Dans ce cas, deux problèmes se posent:
    On peut deviner très facilement le mot de passe de l’utilisateur (manuellement ou via une attaque par dictionnaire)
  • On peut effectuer ce que l’on appelle du phishing : envoyer un email frauduleux à l’utilisateur, en se faisant passer pour une compagnie d’électricité, et en lui demandant de confirmer son mot de passe. En effet, la personne semble peu méfiante et capable de livrer rapidement son mot de passe à un inconnu.

Illustration - paiement par carte de crédit

Moralité: La responsabilité des usagers est primordiale, en matière de sécurité sur Internet. Quand un mot de passe est faible, divulgué, ou mal utilisé, la sécurité de l’utilisateur est compromise, et cela quels que soient les efforts techniques mis en place par les responsables des sites web.

Des procédés de double authentification sont parfois implémentés, comme la validation d’un code secret envoyé par SMS, après la saisie d’un premier mot de passe, mais cette pratique n’est actuellement pas généralisée.

Une responsabilité partagée avec celle des entreprises

France 2 dresse un constat simple: “Les pirates peuvent compter sur leur meilleur allié : le manque de vigilance des utilisateurs”
Cela est vrai, mais pourtant les problèmes de sécurité web reposent également sur le manque de vigilance des entreprises responsables des sites.

Si nous restons sur le même sujet technique, à savoir l’authentification des utilisateurs, les entreprises ont leurs responsabilités. Par exemple, elles ont la possibilité de :

  • crypter les mots de passe dans leurs bases de données
  • mettre en place des contraintes sur le choix des mots de passe des utilisateurs
  • crypter les échanges entre le navigateur des utilisateurs et les serveurs de l’entreprise (HTTPS)
Illustration - Personne travaillant sur la conception d'un site Internet
Humm peut-être la sécurité?

Ce dernier point est très important, car de nombreux utilisateurs se connectent à Internet via des connexions qui ne leur appartiennent pas. Par exemple, l’utilisation des hotspots WiFi est très pratique pour les touristes à l’étranger. Ces points d’accès WiFi peuvent être très facilement piégés pour collecter tous les mots de passe et adresses email tapés par les utilisateurs sur des sites Internet quels qu’ils soient.

En revanche, si la connexion est cryptée en HTTPS, les hackers ne peuvent pas voir le traffic web en clair, et n’ont donc pas accès aux mots de passe.

Les sites sur lesquels vous vous connectez sont-ils protégés par HTTPS? C’est le B-A BA de la sécurité.

Si les utilisateurs ainsi que les éditeurs et développeurs jouent leurs rôles, la sécurité des applications peut être assurée.
Au final, chacun a donc sa part de responsabilité dans la sécurité sur Internet.