Imaginez un instant, l’étendu des dégâts si votre courriel était soudainement piraté et accessible à quelqu’un de mal intentionné. « En l’espace d’une heure, toute ma vie digitale a été anéantie. » C’est de cette façon que Matt Honan, auteur sénior pour le réputé magasine Wired, à débuté son article qui raconte l’histoire extrême du vol de son identité en ligne.
Voici les faits saillants de la mésaventure de Matt:
- Compte Google en entier effacé. Asta-la-vista Baby !
- Les données du iPhone, du iPad et du Macbook Pro effacés à distance.
- Son compte Twitter piraté, laissant comme statut des messages racistes et homophobiques. Amateur de PR bonsoir.
- Un libre accès à ses autres compte chez Apple Store, Amazon, Ebay, Paypal, etc.
Les dommages collatéraux peuvent se produire à un rythme difficile à imaginer lorsqu’on se fait pirater son courriel.
Avant de continuer plus loin, avez-vous lu la première partie de cette série ?
« Privé ou personnel ? C’est pas de tes affaires … (Part 1) »
Merveilleux ! Continuons dans ce cas.
Bref … un carnage. Matt reconnait aussi qu’il aurait « ♫ dont-du ben-du dont-du ♫ » … mieux se protéger.
Avant de vous rouler les yeux d’un air désinvolte en traitant Matt Honan d’amateur, sachez que ce journaliste (et geek dans l’âme) utilisait de très bons mots de passes au moment du vol de son identité. Il s’est fait pirater pour une autre raison. Si ça vous intéresse, vous trouverez les détails ici (1) mais l’essentiel à savoir se trouve dans la suite de cet article.
"Une seule clé pour la maison, l’auto, le chalet, le cadenas du gym, le bureau serait un peu risqué disons."
Je veux vous faire réaliser ici la puissance que possède votre boîte de courriel. Selon moi, elle a maintenant beaucoup plus de force que votre adresse postale physique. Toute cette galère aurait pu être évitée facilement.
- Est-ce que tu me suis encore Lekt ? (2)
- Je pense bien oui
- T’en fait pas, j’y arrive
Vol d’Identité: 2 outils essentiels pour se protéger en ligne.
- De bons mots de passe, qui de préférence, sont différents d’une application/site à une autre.
- Une identification à deux facteurs (aussi appelé identification en 2 étapes)
Pour que vous puissiez bien comprendre l’intérêt de l’identification à deux facteurs, il est probablement plus évident de voir la situation comme ceci :
-
Voyez vos mots de passe comme chacune des clés de votre trousseau. Prenez cinq secondes pour imaginer vos différentes clés comme vos différents mots de passe. Une seule clé pour la maison, l’auto, le chalet, le cadenas du gym, le bureau serait un peu risqué disons.
-
Imaginer maintenant « L’identification à deux-facteurs » comme un détecteur de mouvement, relié à une centrale de surveillance 24h/24h. Aussitôt qu’il y a un mouvement anormal dans votre maison, vos serez notifié de ce fait.
Un excellent mot de passe est essentiel, mais ce n’est pas assez. Si vous me dites que l’histoire de Matt Honan vous laisse totalement indifférent, là c’est une autre histoire. J’espère que ce n’est pas ton cas Lekt.
Allô McFly … il y a quelqu’un là-dedans ?!?
En d’autres mots, même si vous avez une excellente serrure sur votre porte, ça reste insignifiant si vous vous faites défoncer par une fenêtre.
Comment fonctionne l’identification à deux facteurs ?
Dans ce scénario, tenons pour acquis que vous avez déjà activé l’option d’identification à deux facteurs dans Gmail.
Aaarrrhhhhhh, est mon cri de ralliement de pirate. Supposons que je veux entrer sur votre compte courriel Gmail de mon ordinateur. J’entre votre adresse courriel et votre mot de passe que j’ai réussi à voler. Aaarrrhhhhhh ça sent le trésor. Bamm bong! Non … j’arrive sur une page qui me demande une seconde vérification !
Un de mot passe de 6 chiffres est généré, puis envoyé instantanément sur votre téléphone par SMS (ou vocale). Pascal, Aaarrrhhhhhh le pirate, repart bredouille et devient Pascal « boohoooooo » le « loser », à votre grande joie.
- Un gros merci X-Large Pascal de m’avoir appris ça :)
- Ça fait plaisir Lekt !
De plus en plus d’entreprises offrent l’option d’identification à deux facteurs. À ma connaissance Google, Facebook, Dropbox, Mailchimp & PayPal le font aussi. Je suis prêt à parier 100$ que d’ici un an, les banques vont emboîter le pas.
Alors voici ton premier devoir Lekt. Je veux que tu actives l’identification à deux facteurs sur ton compte Google.
Si ton courriel est encore géré par Vidéotron, Bell, etc., demande-leur de te donner cette l’option et explique-leur que Matt Honan s’est fait violé son identité et que tu ne veux pas te faire planter à ton tour.
Lekt, j’ai joint la façon de mettre en place l’identification à deux facteurs ci-dessous (3). Ça te prendra de 5 à 10 minutes pour l’activer. Après, tu te sentiras certainement mieux et plus en sécurité.
Sérieusement Lekt, je ferai tout en mon pouvoir pour t’aider à avoir un meilleur mode de vie grâce aux technologies. Je peux te guider vers le droit chemin, mais à ce point-ci, je ne peux pas le faire à ta place.
En fait … oui je peux le faire pour toi (4) mais ce n’est pas mon but ici. Mon but est de te montrer à pêcher, de te montrer à marcher pour qu’un jour, tu puisses courir comme Forrest Gump.
Comme Batman le disait « Avec de grands pouvoirs viennent de grandes responsabilités. » Aujourd’hui elle cogne à ta porte. C’est ta responsabilité de nos pas laisser trainer un laptop à la vue dans ton auto comme c’est aussi ta responsabilité de faire tes sauvegardes et de protéger ta boite de courriel. N’attends pas de te faire défoncer avant de réagir. Arrête tout et met-le en place maintenant.
Séparons les poseurs des battants
Lekt, mets en place l’identification à deux facteurs et dis-moi comment s’est passé le processus dans les commentaires ci-dessous. Détails techniques : tu peux t’identifier avec ton compte Facebook ou Twitter. C’est très rapide une fois qu’on l’a fait une première fois.
Si quelque chose ne va pas, c’est avec plaisir que je t’aiderai à y parvenir. Mon clavier, mon micro, et ma caméra sont prêts.
Cheers à Mr & Miss Security !
Pascal
Annotations
- http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ Version inaltérable: http://cl.ly/image/200T2G1E1K3o/o
- Vous ne connaissez pas encore Lekt ? GHOST_URL/lekt-le-lecteur/
- Le principe est simple. Lorsqu’une machine autre que la nôtre veut accéder à notre compte, une seconde confirmation est demandée après avoir entré son mot de passe. Cette confirmation est transmise sur un numéro de téléphone qui nous appartient par SMS ou vocale. Source : http://geekpauvre.com/comment-uiliser-identification-2-etapes-google/ ou sinon http://pnddesign.ca/wp-content/uploads/2013/02/Comment-fonctionne-lidentification-en-2-étapes-de-Google.jpg
- Pour https://clarity.fm/#/pascal.nguyen.deschenes
[