1.11.2016, MaenZayyad/shutterstock.com
Mots de passe oubliés, Captcha cryptiques, alertes incessantes: autant de petits tracas quotidiens qui lassent.
Vous vous prenez le chou avec vos mots de passe? Vous n’êtes pas seul: selon une étude de la cyberpolice britannique, ses ouailles jonglent en moyenne avec 22 sésames différents. La fréquence des alertes, des faits divers sur internet, finit aussi par lasser, au point que le National Institute of Standards and Technology (NIST), agence américaine décidant des standards pour l’industrie, met en garde contre une security fatigue des internautes, génératrice de comportements à risque. Pourquoi faut-il rester vigilant? Exemples choisis.
Pourquoi est-ce si compliqué d’en récupérer un?
Perdre son mot de passe, c’est se préparer à une laborieuse procédure de récupération. Pourquoi une entreprise ne peut-elle pas juste vous envoyer votre code secret par e-mail? «Tout d’abord, parce que ce dernier peut être intercepté, explique Evelyne Pintado, de la société de sécurité Navixia. Ensuite, et surtout, parce qu’une entreprise ne devrait jamais stocker en clair les mots de passe.» Comprenez que votre interlocuteur ne le connaît pas, c’est le b.a.-ba de la sécurité. Si une société continue à vous envoyer des mots de passe en clair, inquiétez- vous. A noter que des logiciels comme Dashlane ou Lastpass vous permettent de les gérer, sans devoir vous livrer à un gymkhana mnémotechnique.
Pourquoi avoir une calculette ou une carte à grille pour y accéder?
C’est un principe de base en sécurité: associer un élément qu’on connaît (le mot de passe) avec un élément qu’on possède. Par exemple un «token», une carte à grille ou un téléphone portable. En effet, de plus en plus d’entreprises, des banques, des émetteurs de cartes de crédit, Google, utilisent le SMS (lire encadré) ou des applications dédiées pour effectuer cette double authentification. Elles minimisent ainsi le risque de fraude: un pirate qui aurait obtenu votre code secret devrait trouver le moyen de subtiliser votre calculette pour effectuer une transaction.
Au final, ça sert à quoi et à qui?
Là, vous avez légitimement le droit de vous énerver: un Captcha ne vous protège pas vous, mais le site auquel vous vous connectez. Il sert à s’assurer que vous n’êtes pas un robot. D’où l’utilisation d’images, de chaînes de caractères brouillés que – théoriquement – seul l’oeil humain peut interpréter.
Cet article est paru dans FRC Mieux choisir, numéro 93, sous le titre «La sécurité informatique, ça vous fatigue?»
E-banking
Authentification par SMS en question
La double authentification par SMS n’est plus en odeur de sainteté: en juillet, le NIST a décidé de ne plus la recommander. En cause, le risque d’interception des SMS. En Suisse, plusieurs banques, notamment cantonales, utilisent ce système. Faut-il s’inquiéter? La BCV se veut rassurante: «Une combinaison de mesures de sécurité complémentaires permet de conserver le SMS comme solution d’authentification, note Jean-Pascal Baechler, conseiller économique. Les utilisateurs de BCV-net peuvent aussi utiliser un nouveau moyen d’authentification, BCV smartID.» Ce système, réputé «plus sûr», génère un certificat de sécurité lié au smartphone du client. La banque recommande la migration, sans toutefois la rendre encore obligatoire. Quelque 30 000 clients (15%) ont déjà fait le pas.