Protection de vos données : dix principes d’une bonne hygiène numérique

Mickaël Bazoge |

Cet article est tiré de notre livre Protégez votre vie numérique. Il a été légèrement retouché pour cette parution en ligne.

Le bon sens : c’est ce qui doit vous guider dans toutes vos démarches pour protéger vos données. Pas besoin de verser dans la paranoïa, il suffit de prêter un peu d’attention à ce que l’on fait sur internet et de prendre quelques précautions simples. Voici un petit vade-mecum de principes simples à appliquer, mais qui vous apporteront une sécurité largement suffisante pour la vie de tous les jours.

Si vous voulez aller plus loin, nous ne pouvons que vous conseiller de consulter notre livre Protégez votre vie numérique, qui décrit les mécanismes de sécurité d’iOS et d’OS X et surtout, vous permet de les maîtriser !

1 — Un mot de passe complexe, tu créeras

À au moins une reprise, vous avez été invité à créer un code d’accès (sur iOS) ou un mot de passe (sur OS X). Apple conseille officiellement le type de code suivant :

  • qu’il soit long d’au moins huit caractères ;
  • qu’il comprenne au moins une lettre ;
  • qu’il comprenne au moins une lettre majuscule ;
  • qu’il comprenne au moins un chiffre ;
  • qu’il ne comprenne pas plus de trois caractères identiques consécutifs ;
  • qu’il soit différent du nom du compte.

On peut ajouter aussi qu’il est tout à fait possible d’ajouter des signes de ponctuation. Évitez de choisir des mots de passe « évidents », comme votre date de naissance, votre numéro de téléphone, ou une suite de caractères trop simple.Ne faites pas comme Mark Zuckerberg, le créateur et patron de Facebook, qui a choisi le mot de passe « dadada » pour ses comptes Twitter et Pinterest !

2 — Des réponses originales aux questions secrètes, tu donneras

Les questions secrètes — et leurs réponses — ne sont pas à prendre à la légère. Lorsque vous tenterez de récupérer le mot de passe de votre identifiant Apple (sur ce site), le service va vous demander de répondre à deux des trois questions secrètes décidées lors de la création de votre compte.

Sachez toutefois aller au-delà des réponses les plus évidentes. Celles-ci peuvent être devinées avec un peu d’ingénierie sociale : les petits morceaux de vous que vous laissez sur les réseaux sociaux, au su et au vu de tous, peuvent aider une personne mal intentionnée à prédire les bonnes réponses à certaines questions. C’est d’ailleurs ce qui s'était passé avec le celebgate

Quelques exemples de questions secrètes lors de la création d’un compte iCloud — Cliquer pour agrandir

Pour tromper les malandrins, choisissez des réponses inattendues. Dans l’exemple ci-dessus, « Quel est le premier plat que vous avez appris à cuisiner ? » pourrait amener une réponse qu’on n’attend pas, comme « cercle » ou « chapeau ». Bien plus difficile à deviner donc, mais de votre côté, il faudra vous souvenir de ces réponses déconcertantes !

3 — Un mot de passe par compte, tu inventeras

Imaginez : tous les services en ligne que vous utilisez au quotidien sont protégés par le même mot de passe. Si jamais une personne mal intentionnée parvient à trouver ce mot de passe, il aura accès à l’ensemble des données de l’intégralité de vos comptes en ligne.

Vous l’aurez compris, il est impératif de créer, pour chacun de vos comptes, un mot de passe complexe. Si l’opération est trop fastidieuse, ou si vous avez peur de ne pas vous rappeler tous les mots de passe, Safari et le trousseau iCloud génèrent, conservent et synchronisent des mots de passe complexes.

Une suggestion de mot de passe fort de Safari.

Sur OS X, l’assistant mot de passe peut aussi générer des mots de passe complexes selon vos besoins.

L’assistant mot de passe s’affiche après un clic sur le petit cadenas — Cliquer pour agrandir

Si vous utilisez des machines fonctionnant sur plusieurs systèmes d’exploitation, pensez à des applications multi-plateformes comme 1Password ou Enpass.

4 — De temps en temps, tes mots de passe tu modifieras

Nul n’est parfait. Malgré votre vigilance, vous craignez qu’un de vos mots de passe ait été craqué ? Vous venez de recevoir un e-mail d’Apple vous annonçant qu’une modification a été appliquée sur votre compte alors que vous n’aviez rien demandé ? Sans attendre, allez modifier le mot de passe (sur le site appleid.apple.com pour celui de votre identifiant Apple).

La modification du mot de passe est simple et avec les outils intégrés à iOS et OS X (Trousseau iCloud, génération de mots de passe complexes dans Safari), il sera difficile ensuite d’être pris au dépourvu.

5 — L’authentification à deux facteurs, tu activeras

L’authentification à deux facteurs, introduite avec OS X El Capitan et iOS 9 (ou la vérification en deux étapes pour les Mac et appareils iOS fonctionnant avec des OS moins récents) est un puissant système qui permet d’identifier un nouvel appareil de manière quasi sûre.

Pour l’autoriser, il faut saisir un code de vérification reçu sur un appareil de confiance, qui peut être votre iPhone ou votre Mac. Même s’il connaît votre mot de passe, un brigand qui voudrait accéder à vos données en sera empêché, ce dernier ne possédant aucun de vos appareils de confiance.

La demande de connexion affichée sur un appareil de confiance. Le code à six chiffres devra être saisi sur l’appareil à authentifier.

Une fois dûment vérifié, l’appareil tiers pourra accéder à toutes les données de votre compte iCloud. L’authentification à deux facteurs fonctionne également pour identifier un navigateur web sur OS X ou Windows. Attention, l’activation de cette mesure de sécurité nécessite un numéro de téléphone, de confiance lui aussi.

Apple n’est bien sûr pas le seul constructeur ou éditeur à avoir mis en place un tel système. Pour protéger leurs utilisateurs, la plupart des services en ligne ont mis en place de tels mécanismes. Voici une liste non exhaustive :

6 — Toutes les options de sécurité, tu activeras

Si Apple fait le maximum pour protéger vos données, il vous revient d’utiliser des technologies qui ne sont pas nécessairement activées par défaut. Dès le démarrage de votre appareil, préférez donc un code d’accès alphanumérique, plutôt qu’un code à quatre ou six chiffres (vous pouvez en changer quand vous le souhaitez par la suite, dans Réglages > Touch ID et Code).

Tant que vous y êtes, activez aussi l’option Effacer les données qui va supprimer tout le contenu d’un appareil iOS au bout de dix échecs de saisie de code d’accès. Si vous n’utilisez pas Touch ID, définissez l’option Exiger le code sur « Immédiatement ».

Sur OS X, n’hésitez pas à activer FileVault, qui va chiffrer la partition de démarrage. Les soucis qui ont dégradé les performances des Mac avec la première version de ce mécanisme sont désormais du passé.

Le Mac App Store ne contient que des applications non seulement approuvées par Apple, mais qui respectent aussi des règles draconiennes en matière de sécurité. On peut se contenter de la boutique pour télécharger des applications, mais le catalogue se désemplit petit à petit de ses noms les plus célèbres, ce qui va parfois vous obliger à récupérer des logiciels ailleurs sur le web.

Cliquer pour agrandir

La fonction Gatekeeper permet de n’autoriser que les applications provenant de développeurs identifiés dans la section Sécurité et confidentialité des Préférences système. Ces derniers doivent obtenir un certificat auprès d’Apple, ce qui est une garantie — certes minime — du respect de règles de sécurité.

Attention, dans macOS Sierra, la dernière option (N’importe où) n’est plus d’actualité (lire : Gatekeeper : Sierra n’acceptera que les logiciels signés).

7 — Tes appareils à jour, tu maintiendras

Les failles et les vulnérabilités font partie intégrante d’un logiciel et malgré tous les efforts des éditeurs, il y en aura toujours. Apple colmate les brèches au travers de ses mises à jour d’iOS et d’OS X ; certaines semblent anodines avec leurs notes de version banales (« Amélioration de la sécurité et de la stabilité »), mais il n’est pas moins nécessaire de les télécharger et de les installer.

Sur OS X, les mises à jour du système et des logiciels se trouvent dans l’onglet dédié du Mac App Store. Sur iOS, les mises à jour du système sont proposées dans la section Général > Mise à jour logicielle des Réglages. C’est dans l’App Store que l’on trouve les mises à jour des applications.

Tous les logiciels proposent des mécanismes de mises à jour, parfois automatiques. Généralement, vous trouverez ce réglage dans les préférences de l’application.

Tenez-vous également au courant de l’actualité de vos Mac, de vos appareils iOS et des logiciels que vous utilisez au quotidien ! MacGeneration et iGeneration sont (évidemment) d’excellentes sources d’information, mais vous pouvez aussi vous abonner aux comptes Twitter et Facebook des éditeurs et des constructeurs.

8 — Les accès des applications aux données, tu contrôleras

Pour offrir tous leurs services, les applications peuvent demander l’autorisation d’accéder à l’appareil photo de l’iPhone, à la localisation et aux données (Contacts, Calendrier, etc.). Mais si vous estimez qu’une app n’a pas à connaître votre carnet d’adresses par exemple, vous pouvez parfaitement refuser. L’application risque de revenir à la charge pour vous convaincre d’autoriser l’accès aux données désirées…

Vous pouvez aussi gérer a posteriori les autorisations accordées aux applications. Dans la section Confidentialité des Réglages, vous trouverez la liste des services dont vous avez autorisé l’accès. À tout moment, vous avez la possibilité de désactiver l’accès à tel ou tel service.

Cliquer pour agrandir

9 — Sur internet, tes traces tu effaceras

Entre les cookies et les traqueurs en tout genre, le moindre de vos mouvements en ligne est épié et décortiqué par les publicitaires. Si cette nuisance vous est insupportable, Apple a intégré dans iOS 9 et OS X El Capitan un système de blocage du contenu que peuvent exploiter les développeurs. On trouvera sur l’App Store (pour iOS) et dans les extensions pour Safari (sur OS X) plusieurs applications interdisant à ces petits programmes indiscrets de suivre votre surf.

Cliquer pour agrandir
Cliquer pour agrandir

Les préférences de Safari, sur OS X comme sur iOS, contiennent aussi des réglages pour empêcher un site de vous suivre, de bloquer les cookies et la localisation.

Toujours dans Safari, Apple a mis au point un outil de navigation privée pour iOS et OS X. Ce mode ne mémorise ni l’historique du surf, ni celui des recherches, et il ne conserve pas les informations de remplissage automatique.

10 — Sur internet, de vigilance tu feras preuve

Protéger ses données, c’est aussi faire preuve de bon sens. Voici quelques recommandations simples à avoir toujours en tête pour s’éviter les problèmes :

  • prenez garde aux e-mails qui réclament vos identifiants et mots de passe, ou encore vos coordonnées bancaires : c’est peut-être une tentative d’hameçonnage (phishing). On le repère souvent à la qualité approximative du français (présence de fautes d’orthographe), ou encore à l’adresse de l’expéditeur qui ne ressemble pas à celle d’un service officiel.
  • ne cliquez pas sur les pièces jointes provenant d’un expéditeur inconnu.
  • faites attention à la provenance d’une application : préférez le téléchargement depuis le site de l’éditeur, plutôt que depuis un annuaire. Souvent, les versions des applications qui y sont proposés ne sont pas les plus récentes, et on y trouve parfois des « passagers clandestins » indésirables, comme des malwares.
  • prenez aussi le temps de lire les boîtes de dialogue des applications que vous installez. Vous vous y éviterez de mauvaises surprises, comme dans l’exemple ci-dessous.
Durant l’installation de Java, l’assistant vous propose par défaut de pourrir vos navigateurs avec des contenus Yahoo. Décochez la case : ce type d’adware est très difficile à supprimer.
avatar spece92 | 

Règle numéro un : ne pas avoir de compte Google :)

avatar slinkytheboy | 

@spece92 :
Pourquoi ? (Ceci n'est pas un troll)

avatar Genay | 

@slinkytheboy :
Parce que 99% du modèle économique de google c'est la revente de tes données personnelles (de manière indirecte).

avatar cecile_aelita | 

@Genay :
J'ai toujours eu un gros dilemme concernant le choix entre un compte icloud ou Google!!
Le premier est parfaitement intégré à l'écosystème d'Apple (et n'ayant que du matériel apple à la maison, c'est très agréable à l'utilisation) et la confidentialité des données personnelles semble un peu plus leur tenir à coeur (peut être à tord, ce n'est peut être que de l'intox marketing!!, Le but n'étant pas de créer un débat pileux entre les pro-Android et les pro apple!!! ;-) )
Mais il faut bien admettre que sur le plan rapidité et fluidité d'utilisation, les services de Google sont très en avance sur ceux d'Apple (je ne parle pas des fonctionnalités, ça, chacun en sera jugé de ce qu'il a besoin ou non: je parle juste de la fluidité d'utilisation des services web). Le webmail de gmail est incroyablement plus rapide que celui d'icloud, de même que leur service de photos (j'ai testé les deux pour voir, et c'est saisissant la différence).
Pour le moment je reste sur mon compte icloud, en me disant que sûrement un jour, les serveurs d'Apple auront droit à un coup de fouet (et ce jour là, je ne me poserais plus de questions!! :-)

avatar patrick86 | 

"Parce que 99% du modèle économique de google c'est la revente de tes données personnelles (de manière indirecte)."

L'exploitation, pas la revente. Google exploite elle-même le données, pour vendre un service bien plus lucratif que la revente de données brutes.

avatar mimot13 | 

Ce qui au final est encore plus inquiétant ? A part pour ceux qui ont des tomates devant les yeux..

avatar mimot13 | 

@Ze-misanthrope : Oui peut-être et alors ça prouve quoi ? Qu'ils sont bons dans leur domaine..? On le savait déjà. Mais ça ne signifie pas que la vie privée, à laquelle tout le monde devrait être attentif, soit respectée. Position de Google & Co (d'autres entités aussi, comme Microsoft, Paypal etc..) me semble quand même ambiguë sur ce sujet.
De temps à autre il faut lire les règlements et accords donnés (cochés en fait) en intégralité.. oui c'est particulièrement ch.... mais très instructif.

NB : modèle éco de Google le plus connu : c'est comme les frites, tout le monde connait et en consomme mais ce n'est pas pour ça que c'est bon pour la santé ? Donc modération souhaitable.

avatar Le Gognol | 

@spece92 : règle numéro 2, ne pas avoir de compte Facebook...

avatar inumerix | 

Après l'hygiène intime voilà l'hygiène numérique !

avatar harisson | 

@inumerix :

Pas super fan de l'utilisation de ce terme pour le numérique, en plus je n'aime pas beaucoup les excès de l'hygiénisme.

avatar PierreBondurant | 

10 sur 10 sur l'hygiène!
Je dirais en 11: payer en ligne avec un crédit card uniquement. S'il y a un fraude, c'est pas votre argent mais celui de ma banque (au UK en tout cas)

avatar ludoe (non vérifié) | 

Pour ce qui est de la fraude à la carte bancaire, la banque rembourse, mais il faut faire des démarches ... c'est toujours contraignant et parfois long ...

avatar RedMak | 

Pour les mots de passe j'ai mis en place un petit 'algorithme' (dans ma tete) qui me permet de retenir aucun mot de pass mais de le reconstruire le moment venu ;)

avatar baba1811 | 

@RedMak :
Super

avatar aMac | 

Rétro-ingénierie possible sans hasard

avatar ecosmeri | 

@RedMak :
Tu peux nous l'expliquer?

avatar Adrienhb | 

@ecosmeri :
Je suppose que c'est un truc du genre "la première lettre de l'URL du site suivie des initiales de ma rue, suivies du code postal de mes parents, puis re ce code postal mais auquel j'ajoute 3, puis les initiales de mon grand-oncle, le tout en ajoutant un @ au début et € à la fin et en mettant une majuscule en 3ème ou 5ème caractère. Et si je veux que ce soit vraiment sécurisé je le tape deux fois l'un à la suite de l'autre".
Bon dis comme ça, ça paraît impossible à se rappeler, mais en fait c'est bien plus simple que Z*y26o24ZhgZDK?FDFL. ;)

avatar DG33 | 

@Adrienhb :
Je fais un peu comme ça moi aussi mais j'insère au milieu du code les 3 premières lettres de l'URL dans un ordre particulier, et auxquelles je fais subir des modifs, parce que sinon le mot de passe d'Amazon, Apple, et AutoPlus seraient les mêmes...

avatar Ali Ibn Bachir Le Gros | 

> Pour les mots de passe j'ai mis en place un petit 'algorithme' (dans ma tete) qui me permet de retenir aucun mot de pass mais de le reconstruire le moment venu ;)

Moi aussi. J'utilise 1Password.

avatar San_Pellegrino | 

Conseil supplémentaire : ne pas utiliser "malandrin" comme mot de passe.

avatar RonDex | 

Un chapitre sur les VPN ? Sur ce livre, ou un autre de votre collection ?
Car je pense que ça va devenir de plus en plus indispensable.

Sur ordinateur, mais aussi sur mobile !

J'ai essayé VyprVPN 1 mois, puis en ce moment Hide My Ass pendant 1 mois.
- l'application pour Mac du premier et très complète. Elle avait tendance à faire planter mon Mac. Mais je le trouve relativement instable. Je format très avec Sierra. Trois connexions en même temps.
- Le second, l'application pour Mac est vraiment trop sommaire. 2 connexions en même temps. Mais beaucoup plus rapide que le premier (j'ai du VDSL2+ à 60M). configuration et utilisation sans problème avec mon NAS Synology.

Je pense que je vais prendre HMA pour un an à 5 € / mois (-55% en ce moment).

avatar Milouze | 

Pour les vrais paranos, espions, activistes ou béotien comme moi, cette brochure hacknarchiste est intéressante (mais très orientée Linux).

https://infokiosques.net/lire.php?id_article=1045

avatar stéphane83 | 

J'arrive pas à trouver la vérification a deux facteurs sur mes comptes j'ai les deux étapes mais pas cette option...

avatar heret | 

Comme le prix du timbre n'arrête pas d'augmenter et que La Poste perd même les recommandés envoyés par Internet, utiliser des facteurs pour protéger sa vie numérique n'est vraiment pas une bonne idée :P

avatar bitonio | 

11. Sécurité tu évangéliseras à tes enfants, tes parents, tes frères et soeurs, tes amis, tes collègues…

avatar esantirulo | 

Et en annexe : ne pas croire qu'un VPN protège de quoi que ce soit et n'a rien d'anonyme surtout avec Chrome !

avatar heret | 

Chrome n'a rien à voir. Le service VPN se paie et donc laisse des traces chez le fournisseur.

avatar esantirulo | 

Et en annexe : sur le deep web tu n'iras point, pleins de méchants russes et nord-coréens t'attendent et du bien ils ne te veulent pas.

avatar patrick86 | 

@esantirulo :

C'est assez ironique de défaire — à juste titre — une idée reçu sur le VPN, pour juste après en propager une sur le deep web. ?

Le deep web, c'est tous les sites et pages web qui ne sont pas indexés par les moteurs de recherche.

Basiquement, n'importe quel nouveau site web non encore indexé, est dans le web profond.

Ne pas confondre le 'deep web' avec le 'dark web' et les réseaux chiffrés.

avatar kitetrip | 

J'ajouterai deux points importants :
- supprimer son compte des services en ligne que l'on utilise plus et envoyer un mail au support pour demander la suppression de ses données personnelles (loi informatique et liberté)
- penser malheureusement à son décès : accéder au compte du défunt afin de le cloturer est une tâche aujourd'hui trop difficile, surtout melée au chagrin...

avatar debione | 

Il manque quelques trucs quand même:

- sauf achat, ne jamais laisser, son véritable nom/adresse ni d'ailleurs son mail ( avoir des mains poubelles), principalement avec un mail Google ou un compte Facebook.
- ne jamais donner l'autorisation à une application d aller piocher dans vos carnet d'adresse
- utiliser des add genre Gohstery, car c'est le seul moyen de ne pas être trace quand il y a des boutons Like fb/ Google + et autres

Le meilleur moyen de se protéger est... De ne pas avoir ( ou à minima) de données personnelles soit dans un smartphone soit sur dès formulaire que l'on envoie par mail... Je rappèlerais juste que chaque mail, chaque Tchat chaque action que vous faites avec Google ou fb est instantanément scanne, décortique, rajouté à votre profil...
Là meilleur protection est d'éviter les logiciels de mr tout le monde... Fusse un temps où ne pas avoir Windows suffisait, maintenant clairement, iOS est une passoire ( non je déconne, cela a toujours été le cas, ce n'est qu'une question de rendement pour les pirates)...

Actuellement le plus sur est de ne pas posséder de Windows, pas plus que d'IOS ou Android... Le simple fait de ne pas utiliser une de ces trois plate formes vous mettra a l'abri de 90% des merdes.

avatar heret | 

@Mickaël
Sur internet, tes traces tu effaceras

Il faudrait en parler à Laporte, il n'avait pas l'air au courant.

avatar iYoung | 

J'ai adoré la formulation des 10 commandements

avatar Oncle Sophocle | 

Plus quelques trucs basiques :
- Ne JAMAIS répondre directement à des messages (e-mail, SMS ou autres) provenant d'émetteurs inconnus ;
- Ne JAMAIS cliquer sur un lien (dans une fenêtre web ou dans un e-mail) pointant vers un site inconnu ;
- Accessoirement, refuser systématiquement les offres de cartes de fidélité qui demandent des renseignements personnels (adresse postale, adresse e-mail, téléphone, situation de famille etc...), ces données pouvant être hébergées sur des serveurs situés n'importe où dans le monde.

avatar Terrehapax | 

L’authentification à deux facteurs est sûrement une protection supplémentaire, sauf si vous devez changer de téléphone (ou seulement de numéro) lorsque vous voyagez. Une solution ?

avatar toketapouet | 

Bah moi j'ai 1 compte facebook (bien entendu), 3 comptes google (1 perso, 1 pro et 1 trash), 1 compte icloud, 1 compte hotmail (trash trash) et 1 compte yahoo (méga trash qui tâche).

J'accepte avec plaisir que Google vende mon slip à qui n'en veut, d'une parce que je vire ensuite les malotrus en 2 clicks, et que Google reste gratuit et fournit un bon service. Idem pour Facebook, je suis ravi de l'avoir pour parler à mes proches aux USA, en Chine, en Australie, en Nouvelle-Calédonie, à Futuna ou aux quatre coins de la France métropolitaine. Gratuitement. Je leur laisse mon slip sans arrière pensée.

Tous les mots de passe sont des trucs de trois pieds de long aléatoires avec plein de chiffres et de caractères chelous générés par 1 password.

La double activation est cochée sur chacun.

Le tout est planqué dans 1 password, qui est double sécurisé avec mon doigt + 1 mot de passe imbitable généré par 1 password (planqué crypté sur mon mac avec un mot de passe de mon crû) + 1 mot de passe de mon crû bien sympathique (et non je ne vous donnerai pas mon algorythme perso, simplement c'est long mais enfantin à retenir pour moi, ça comporte des caractères spéciaux, des lettres, des chiffres, des minuscules et des majuscules, et ça fait hummm... Trente caractères.

Donc ouais, rien n'est incrackable, mais le but n'est pas d'être incrackable, mais de donner envie au pirate de passer à la cible suivante.

avatar Boumy | 

Règle 11 quater, ne pas effectuer d'opérations concernant la sécurité ou les données trop tôt après le lever ou trop tard quand on est crevé ;) ces circonstances sont des sources de confusion, oubli et manque de vigilance.

CONNEXION UTILISATEUR