Apprend-t-on aux enfants à marcher dans la rue sans leur expliquer qu'il faut faire attention aux voitures et s'arrêter quand le feu est rouge ? Naviguer sur Internet n'est pas différent ; il est urgent de démocratiser la culture de la sécurité.

Vous l'avez peut-être remarqué : lorsque vous vous rendez sur votre boîte e-mail ou vous apprêtez à finaliser une transaction en ligne, l'adresse qui se trouve dans votre barre de recherche comprend un protocole "hypertexte sécurisé" synthétisé par l'abbréviation "HTTPS".

VOIR AUSSI : Google veut créer une intelligence artificielle capable de se chiffrer toute seule

Celui-ci vous permet de vous situer, en théorie, sur une navigation plus sûre. Crée en 1994, il offre à l'internaute la possibilité de vérifier l'identité du site Internet qu'il est en train de consulter, et cela grâce à un certificat d'authentification (SSL) que seule une autorité tierce peut remettre. En d'autres termes, il est le garant que les informations rentrées par l'utilisateur restent confidentielles. C'est à un algorithme de chiffrement que l'on doit cette sécurisation. Afin que le client et le serveur demeurent les seuls habilités à lire le contenu d'un échange, ils devront s'échanger des clés entre eux. 

Or, par défaut, la navigation ailleurs sur la Toile se fait la plupart du temps avec "HTTP", un protocole créé quelques années plus tôt. C'est la formule de base, autrement dit le protocole (au même titre que Bluetooth est un protocole pour connecter deux appareils entre eux) qui dit à nos navigateurs d'utiliser les règles HTTP pour s'adresser au serveur via des requêtes.

L'attaque "Man in the middle"

Aujourd'hui, certains sites essayent de se mettre au diapason en proposant une navigation sécurisée, à l'instar de Facebook qui, après l'avoir proposé en option dans les paramètres, la déploie désormais systématiquement depuis 2013. Même si le protocole HTTPS n'est pas invincible, il ajoute une couche de sécurité en plus pour ses utilisateurs (sans que ça ne veuille évidemment dire que votre vie privée n'est pas assaillie différemment – mais c'est un autre débat).

Preuve que le protocole HTTP a ses défauts que le protocole HTTPS essaye d'endiguer, à partir de janvier, les sites non-sécurisés seront mis en exergue par le navigateur Chrome, comme l'indique cet internaute qui partage dans un tweet une capture d'écran du Google Search Console, un service mis à disposition des webmestres souhaitant optimiser leur référence dans Google :

Bien sûr, le protocole HTTPS ne préserve pas de toute attaque. Déjà, parce que s'il garantit le chiffrement de la communication entre un site et vous, il ne dit évidemment rien de la nature du site. Vous pouvez donc avoir une navigation sécurisée... sur un site lui-même frauduleux.

VOIR AUSSI : Protection des données : quelle messagerie instantanée est la plus sûre ?

Mais apprendre à être attentif au protocole est un premier pas vers la protection de ses données. C'est ce qu'a voulu montrer le chercheur en sécurité informatique qui a développé une attaque de type "Man in the middle" ("Attaque de l'homme du milieu"), prouvant ainsi qu'il était tout à fait possible pour un hacker malintentionné de se placer entre un client et un serveur puis de transformer les liens "https://" en liens "http://" afin de flouer un client.

Quelques trucs à retenir

Le manque de culture de la sécurité est aujourd'hui responsable de bien des incidents qui pourraient pourtant être évités. Longtemps, naviguer en ligne a été proposé à tout un chacun un peu comme si l'on avait appris aux enfants à marcher dans la rue sans leur préciser qu'on ne traverse pas au rouge et qu'il faut se méfier des intersections. À l'heure où de plus en plus de procédures administratives et d'achats sont réalisés en ligne, il est urgent d'apprendre à surfer en toute sécurité en gardant en mémoire quelques bonnes façons de faire.

1. Activez le protocole https dès que possible (tous les serveurs ne le gèrent pas). Lors de transactions bancaires par exemple, vérifiez que le lien utilisé est toujours sécurisé. Votre navigateur vous l'indique généralement par un petit cadenas vert situé à gauche de votre barre de recherche. Au passage, méfiez-vous également des sites de paiement que vous n'aviez jamais croisé avant. Par exemple, un "Paypaal" avec deux A devrait vous mettre la puce à l'oreille...

2. Surveillez ceux qui vous surveillent. Chaque fois que vous vous rendez sur un site, un certain nombre d'informations relatives à votre connexion ainsi que votre adresse IP sont récupérés. Si vous voulez empêcher le stockage (illégal) de vos données, vous pouvez a minima refuser les cookies (les petits textes fouineurs qui résument les informations liées à vos consultations de liens) par défaut. Cette page de la CNIL détaille la procédure à suivre pour les navigateurs Chrome, Firefox et Internet Explorer.

3. Installez un logiciel antimouchard / anti-espion. Pour couper la chique aux logiciels espions que comportent de nombreux servcies gratuits. Car faut-il le rappeler : quand c'est gratuit, c'est que vous êtes le produit.

4. Installez un pare-feu. Pour filtrer les données transitant entre votre machine et le réseau. Pour comprendre ce qu'est un pare-feu, revenons au sens premier de ce mot : à l'origine, un pare-feu (ou coupe-feu) est un mécanisme utilisé au théâtre pour éviter qu'un feu déclenché dans une salle ne se propage sur la scène. Sur votre ordinateur, un pare-feu a la même fonction : il opère comme un barrage entre votre machine et le reste de la Toile.

5. Évitez de publier une information personnelle que vous n'êtes pas certain de vouloir voir longtemps sur Internet. Cela peut paraître évident dit comme ça, mais il faut savoir que demander la suppression d'une information sur la Toile n'est pas instantané. Surtout, le temps que la suppression soit effective, le cache du moteur de recherche reste disponible.

6. Ne faites pas de transactions bancaires sur des Wi-Fi publics. Attendez plutôt d'être chez vous. À l'heure où le Wi-Fi public est perçu comme un confort (la SNCF travaille d'ailleurs à le déployer sur ses lignes de train), il est important de rappeler que les pirates informatiques peuvent profiter de l'absence d'authentification pour pénétrer un réseau et piller les informations personnelles qui y sont échangées. Pour éviter cela, privilégiez l'utilisation d'un VPN qui vous permettra de surfer anonymement (cela décourage généralement les hackers à tenter de vous piller). Aussi, veillez à ne pas laisser votre appareil se connecter par défaut aux Wi-Fi publics en désactivant l'option dans les paramètres.

7. Activez la double authentification, également appelée "validation en deux étapes". Pour accéder à vos e-mails ou réseaux sociaux par exemple, mais aussi pour finaliser un paiement en ligne avec un code secret qui vous est envoyé par e-mail par exemple. Celle-ci se démocratise peu à peu : elle est d'ores et déjà disponible sur de nombreux services comme ceux de Microsoft, Google, Apple, Facebook, Twitter, Dropbox ou encore Amazon et Tumblr.

8.  Ne demandez pas la mémorisation de vos codes bancaires. Pour un gain de temps de quelques secondes à peine, autant privilégier le risque zéro.

9. Utilisez la navigation privée. Ainsi, vos historiques, mots de passe et formulaires remplies ne seront pas conservés. Très pratique également lorsque l'on veut plannifier un voyage surprise avec la personne avec qui l'on vit. Ce serait dommage qu'elle tombe sur un site de compagnie aérienne dans les suggestions de votre navigateur...

10. Rangez vos mots de passe dans un gestionnaire. La plupart du temps, par souci de commodité, les internautes choisissent des mots de passe faciles à mémoriser. Surtout, nombreux sont ceux qui utilisent le même mot de passe sur différentes plateformes. En réalité, le mieux est de démultiplier les mots de passe, et surtout, de les complexifier : ainsi, ce n'est pas parce qu'il vous semble absurde (genre "'satrefigolulille' parce que qui penserait à un nom de philosophe, une marque de gâteau puis ma ville de naissance ?") qu'il est sécurisé. Le mot de passe idéal doit comprendre au moins 8 caractère, des chiffres, des lettres, des majuscules, des minuscules, et pourquoi pas, des caractères spéciaux. Ensuite, vous vous demandrez probablement "mais comment vais-je faire pour me souvenir de tous ces codes super alambiqués ?" et c'est là que le gestionnaire de mots de passe peut s'avérer utile. Grâce à lui, vous pourrez conserver tous vos mots de passe au même endroit et les cacher avec un mot de passe maître, l'ultime combinaison à retenir pour avoir accès au reste. Attention, tout ranger au même endroit peut être dangereux si un hacker parvient à y pénétrer. Pour cela, veillez à choisir un gestionnaire de mot de passe ultra-sécurisé car basé sur une solide technique de chiffrement.

Quelque chose à ajouter ? Dites-le en commentaire.