Vous pensez que votre gestionnaire de mots de passe est là pour vous ? Détrompez-vous.

Le monde numérique est désordonné, bruyant et parfois hostile, et j'ai essayé de rester au moins un peu soucieux de la sécurité alors que ma vie se déroule de plus en plus en ligne. Pendant longtemps, cela signifiait utiliser un gestionnaire de mots de passe et l’arrêter. Des mots de passe forts et uniques, partout, semblaient être la ligne d'arrivée. Le problème est que les menaces ont changé et que les habitudes n’ont pas toujours suivi. De nos jours, s’appuyer uniquement sur un gestionnaire de mots de passe revient un peu à verrouiller votre porte d’entrée tout en laissant les fenêtres ouvertes.

La véritable sécurité des comptes va désormais au-delà des mots de passe. Les clés d'accès, l'authentification à deux facteurs correctement configurée, la planification de la récupération et l'hygiène de base des appareils sont tout aussi importantes, sinon plus. Si vous sautez ces étapes, vous êtes toujours exposé à des attaques de piratage de compte, de phishing et de réutilisation d'identifiants, même si chaque mot de passe de votre coffre-fort est long et aléatoire. C’est à cela que ressemble réellement le verrouillage des choses, et là où la plupart des gens qui pensent « bien faire en matière de sécurité » laissent encore des lacunes.

Activez les mots de passe partout où vous le pouvez

L'activation des mots de passe est l'une des plus grandes améliorations de sécurité que la plupart des gens peuvent apporter à l'heure actuelle, et c'est également l'une des plus négligées. Si un site propose des mots de passe, je les active. Ils éliminent certaines des attaques les plus courantes que les gestionnaires de mots de passe ne peuvent tout simplement pas résoudre, comme les pages de phishing qui vous incitent à fournir des informations d'identification autrement solides. Je suis fan de Bitwarden depuis un certain temps maintenant et, à son honneur, il gère bien les mots de passe sur les navigateurs et plates-formes modernes. Une fois activés, les mots de passe ne semblent pas être une étape de sécurité supplémentaire, mais plutôt moins d'étapes et moins de risques de gâcher les choses.

Cela dit, tous les gestionnaires de mots de passe ne prennent pas en charge les mots de passe de la même manière, et certains ne les prennent pratiquement pas en charge. Si votre responsable ne peut pas stocker ou utiliser les clés d'accès de manière fiable, vous avez toujours des options. De nombreux systèmes d'exploitation et navigateurs peuvent agir eux-mêmes comme fournisseurs de mots de passe, et c'est toujours mieux que de recourir à des mots de passe partout. L’important n’est pas d’attendre un accompagnement « parfait » pour agir. Si un site propose des mots de passe, utilisez-les. Si votre gestionnaire de mots de passe les prend en charge, tant mieux. Si ce n'est pas le cas, laissez le système d'exploitation s'en occuper et continuez à avancer. La sécurité n'est pas une question de fidélité à la marque ou de listes de contrôle de fonctionnalités. Il s'agit de combler les lacunes réelles, un compte à la fois.

Améliorez votre double facteur au-delà du SMS

L'authentification à deux facteurs est un autre domaine où beaucoup de gens pensent qu'ils ont terminé alors qu'en réalité ce n'est pas le cas. Activer les codes SMS semble responsable, et c'est certainement mieux que rien, mais c'est aussi la forme la plus faible de double facteur qui est encore qualifiée de « sécurisée ». Les messages texte peuvent être interceptés, redirigés ou détournés via des échanges de cartes SIM, et rien de tout cela ne nécessite de casser votre gestionnaire de mots de passe ou de deviner un mot de passe fort. Si un attaquant parvient à convaincre un opérateur de déplacer votre numéro, ces codes à six chiffres cessent très rapidement de vous protéger.

Si un site prend en charge les clés matérielles ou à deux facteurs basées sur une application, c'est ce que j'utilise. Les applications d'authentification associent le code à votre appareil, et non à votre numéro de téléphone, et les clés matérielles vont encore plus loin en exigeant quelque chose que vous possédez physiquement, comme une YubiKey. Il est plus difficile de procéder à un hameçonnage, plus difficile à intercepter et plus difficile à contourner à distance. Oui, la configuration prend quelques minutes supplémentaires, mais c'est l'un de ces cas où la « bonne » option réduit réellement les risques de manière significative. Le SMS est une solution de secours, pas un objectif. Si vous envisagez sérieusement de verrouiller des comptes, la mise à niveau à deux facteurs est l’une des victoires les plus simples que vous puissiez réaliser.

Configurez la récupération avant d'en avoir besoin

Les codes d'accès d'urgence et de récupération font partie de la sécurité des comptes que la plupart des gens ignorent, et ce sont généralement ceux qu'ils regrettent d'avoir ignorés. C’est une erreur, car ils constituent le filet de sécurité pour tout ce que vous avez verrouillé. Les téléphones se perdent, les clés matérielles échouent, les applications d'authentification se cassent et les comptes sont signalés au pire moment possible. Si vous ne l'avez pas prévu à l'avance, les mots de passe forts et les systèmes à deux facteurs ne vous aideront pas beaucoup lorsque vous êtes bloqué. De véritables plans de sécurité en cas d’échec, pas seulement le chemin du bonheur.

Lorsque j'active deux facteurs ou des clés d'accès, je traite la récupération comme faisant partie de la même configuration, et non comme un suivi facultatif. Avec Bitwarden, je stocke les codes de récupération directement dans mon coffre-fort et je dispose d'un accès d'urgence configuré avec une personne de confiance. De cette façon, si un appareil tombe en panne ou si je perds l'accès de manière inattendue, je ne brouille pas les données ni ne repart de zéro. L’objectif n’est pas seulement d’empêcher les attaquants d’entrer. C'est m'assurer que je peux toujours revenir quand les choses tournent mal.

Verrouillez vos appareils avant que quelque chose ne se passe mal

Les bases de la sécurité des appareils sont faciles à ignorer car elles semblent ennuyeuses et évidentes, jusqu'à ce qu'elles ne le soient plus. Pendant longtemps, j'étais sur le point de supprimer le mot de passe de mon téléphone parce que c'était « ennuyeux » et je pensais à tout le temps que je passais à me connecter. Puis j'ai perdu mon téléphone, et la lutte est devenue très réelle, très rapide. Tout à coup, ce n’était plus une question de commodité. Il s’agissait de savoir à quoi pouvait accéder toute personne qui le récupérait, quels comptes étaient encore connectés et à quelle vitesse une mauvaise situation pouvait s’aggraver. Cette expérience m’a guéri assez rapidement des raccourcis.

Des éléments tels que les verrouillages d'écran, les mises à jour du système d'exploitation et les profils de navigateur ne semblent pas avancés, mais ils sont fondamentaux. Un écran de verrouillage puissant vous fait gagner du temps lorsqu'un appareil disparaît. Les mises à jour opportunes corrigent discrètement les exploits du monde réel dont vous n'entendrez jamais parler jusqu'à ce qu'il soit trop tard. Des profils de navigateur distincts empêchent le travail, les comptes personnels et les connexions à risque de s'infiltrer les uns dans les autres. Rien de tout cela n’est tape-à-l’œil et rien de tout cela ne remplace un gestionnaire de mots de passe ou une authentification à deux facteurs. Mais si votre appareil est grand ouvert, toutes ces autres sécurités peuvent s’effondrer rapidement. Conservez les bases, car lorsque quelque chose ne va pas, c'est la première ligne de défense que vous souhaiterez ne pas avoir ignorée.

Faites-le en premier lorsqu'un compte est compromis

Si vous avez déjà été compromis, la pire chose que vous puissiez faire est de vous figer ou de supposer que le mal est fait. Les rachats de comptes ont tendance à avoir un effet en cascade. Une connexion compromise se transforme en accès au courrier électronique, qui se transforme en réinitialisation de mot de passe, qui se transforme en effet domino. J'y suis allé et la leçon est simple. La vitesse compte plus que la perfection. Vous n'avez pas besoin d'un plan directeur. Vous devez commencer à couper l’accès immédiatement.

Tout d’abord, sécurisez votre compte de messagerie, car c’est la véritable clé de votre royaume. Modifiez le mot de passe, faites pivoter le mot de passe ou la méthode à deux facteurs si vous le pouvez et déconnectez-vous de toutes les sessions actives. Accédez ensuite à votre gestionnaire de mots de passe, modifiez le mot de passe principal et forcez une déconnexion du coffre-fort partout.

Après cela, commencez à alterner les mots de passe sur tous les comptes de grande valeur comme les comptes bancaires, le stockage cloud, Apple ou Google et tout ce qui est lié au travail. Vérifiez l'activité de connexion récente, révoquez les sessions inconnues et réémettez les codes de récupération au fur et à mesure. Ce n’est pas amusant, et ce n’est pas rapide, mais le confinement consiste à arrêter la prise de pouvoir. Vous pouvez auditer et nettoyer plus tard. L’objectif dans ces premiers instants est simple : contrôler les dégâts.

Des changements qui vous rendent réellement plus en sécurité

Un gestionnaire de mots de passe est un bon début, pas une stratégie de sécurité. La véritable protection consiste à regrouper les éléments de base qui résistent réellement en cas de problème. Des clés d'accès là où vous le pouvez, mieux à deux facteurs que les SMS, des plans de récupération que vous avez testés et des appareils qui ne sont pas grands ouverts. Rien de tout cela n’est une question de paranoïa ou de perfection. Il s’agit de combler les lacunes faciles avant qu’elles ne se transforment en véritables problèmes. Se sentir en sécurité n'est pas le but. Il est plus difficile d’y pénétrer.