Validation en deux étapes - Softonic French

Sécurité du web: les 7 failles les plus inquiétantes de 2014

Y a pas à dire, entre vols de données, vagues de paniques, hacks, failles de sécurité et fuites diverses de photos, l’année 2014 aura été faste en cyber-frayeurs. On aura plusieurs fois frisé la datastrophe. Bruyamment relayés par les médias qui se plaisent à entretenir la méfiance vis-à-vis de la toute-puissance du web, les méfaits des hackers, toujours plus nombreux, plus sournois, plus habiles, nous incitent à la cyber-parano.

Doit-on encore confier nos données à l’aveuglette? Le cloud est-il en mesure de protéger notre vie privée? Qui peut utiliser nos photos? nos fichiers? nos mots de passe? nos comptes? En un mot, au moment où s’achève cette année 2014, qu’en est-il de la sécurité en ligne? Faisons le point.

Heartbleed

Voici sans doute un des plus grands bugs de sécurité de l’année. Heartbleed a dévoilé une faille de sécurité qui affectait la plupart des sites web. Le bug a été découvert dans la bibliothèque de cryptage OpenSSL, un répertoire open source qui protège les pseudos et les mots de passe des internautes. La faille a révélé que n’importe quel hacker interceptant une connexion potentiellement compromise (c’est-à-dire mal encryptée) pouvait récupérer votre nom d’utilisateur et votre mot de passe. Le pire, ce n’est même pas que 66% des sites web utilisaient (et utilisent toujours) le cryptage OpenSSL: c’est que la faille soit passée inaperçue pendant deux ans. En d’autres termes, les hackers ont eu le champ libre pour récolter des pseudos et des mots de passe pendant un bon moment.

Depuis sa découverte en avril, la plupart des grands sites concernés ont corrigé ce bug, redonnant une certaine (relative) sécurité à leurs sites web.

Snapchat

Bien que l’appli elle-même ait été hackée plus tôt dans l’année, dévoilant les pseudos et numéros de téléphones de plus de 4 millions de personnes, les utilisateurs de Snapchat ont tremblé lorsque le populaire site Snapsaved, édité par des tiers, a subi une faille de sécurité. Cette page web, comme son nom l’indique, permet aux utilisateurs de Snapchat de sauvegarder leurs photos et leurs vidéos. Les hackers ont dérobé plus de 200 000 images et vidéos, dont beaucoup se sont retrouvées sur les forums anonymes de 4chan, il y a de ça quelques semaines.

Snapchat est souvent utilisé pour envoyer des images plutôt, disons, “personnelles”, ce qui pose d’autant plus de problèmes que le site est populaire chez les mineurs. Snapsaved.com a depuis cessé ses activités et 4chan a retiré les photos, mais ça ne signifie pas que vous êtes complètement à l’abri. Snapsaved et des applis similaires exploitent les accès dérobés d’une API (Application Programming Interface) accessible au public pour intercepter et sauvegarder vos photos. Mieux vaut sans doute éviter les applis tierces qui communiquent avec Snapchat (ainsi que Snapchat lui-même, pas toujours irréprochable sur le plan de la sécurité) si vous ne voulez pas risquer de voir vos photos dans la nature.

iCloud

Cette fuite de photos a eu un écho considérable dans la presse, du fait de la notoriété mondiale des célébrités qui étaient visées par ces attaques. Mais la faille de sécurité expérimentée par iCloud en septembre n’a pas suffi à effrayer l’utilisateur Lambda. La fuite n’était pas vraiment liée à une vulnérabilité logicielle en soi: les hackers ont plus exactement découvert une lacune dans le système de sécurité qu’ils ont exploitée au moyen de logiciels tiers, pour accéder aux comptes de sauvegarde d’iCloud, en ciblant ceux des célébrités. La panique a été causée par le fait que n’importe qui pouvait potentiellement accéder à des photos “sensibles” stockées sur un appareil iOS. L’absence de validation en deux étapes a été pointée du doigt pour expliquer la vulnérabilité d’iCloud.

Depuis, Apple a nettement modifié ses services de stockage iCloud à l’occasion de la sortie d’iOS 8. Vous recevrez notamment un email s’il y a eu accès à votre compte depuis un autre emplacement, et le système rend la tâche bien plus difficile aux hackers qui voudraient s’aventurer sur vos comptes. L’authentification en deux étapes est maintenant obligatoire, et Apple vous force à générer des mots de passe distincts pour chaque appli qui n’est pas compatible avec l’authentification en deux étapes.

eBay

En mai, eBay a annoncé que l’intégrité de son site web avait été compromise par une faille de sécurité vieille de quelques mois. Au moyen du compte d’un employé, les hackers ont pu accéder aux données des utilisateurs. Cependant, les informations dérobées ne contenaient pas de données bancaires, et concernaient essentiellement les emails et les adresses physiques des utilisateurs, ainsi que leurs mots de passe et leurs dates de naissance. Paypal, le partenaire d’eBay qui gère les transactions financières, n’a heureusement pas été frappé par cette attaque, ce qui aurait pu causer des dégâts d’une autre ampleur.

eBay a déclaré ne pas avoir détecté d’activité suspicieuse lors des mois précédant la découverte de la faille, mais il a recommandé aux 145 millions d’utilisateurs concernés de modifier leur mot de passe.

Internet Explorer

Un quart du marché des navigateurs internet a été affecté en avril, lorsque Microsoft a annoncé une faille critique de sécurité dans les versions 6 à 11 d’Internet Explorer. De fait, Microsoft a pris la menace au sérieux, au point de sortir une mise à jour de sécurité pour Windows XP, alors même qu’il avait cessé le support officiel de ce système d’exploitation, périmé depuis quelques semaines.

La vulnérabilité mettait les utilisateurs d’Internet Explorer à la merci des hackers en octroyant à ces derniers les droits d’administrateur à distance, leur permettant de s’introduire dans le système et d’installer des malwares. Heureusement, la vulnérabilité a été corrigée quelques jours après avoir été découverte.

Adobe Flash

Adobe a sorti en urgence une mise à jour de Flash cet été, après qu’une faille de sécurité ait mis les cookies du navigateur à la merci des pirates. Les cookies sont des données qui permettent au navigateur de se souvenir de votre comportement sur des sites web, afin de rendre votre expérience plus fluide, par exemple en évitant de retaper son mot de passe à chaque connexion. Cette vulnérabilité, techniquement complexe, permettait aux pirates d’intercepter ces cookies, et de se faire passer pour d’autres internautes sur les sites web concernés.

Flash étant embarqué par des milliers de sites, y compris YouTube, Google ou Tumblr, sa vulnérabilité a compromis la sécurité d’un grand nombre d’internautes. Heureusement, le patch a été mis à jour rapidement, avant que des dégâts majeurs soient détectés.

Shellshock Bash

Découverte le mois dernier, Shellshock Bash pouvait potentiellement devenir la plus vaste et la plus effrayante des failles de sécurité jamais connues. Apparue sur Mac OS X, Linux et les systèmes Unix, elle donnait aux hackers la possibilité d’exécuter des commandes à distance sur des ordinateurs, des appareils et des sites web.

Bash est un interpréteur de commande largement utilisé par des PC portables, des routeurs ou des sites web. Sa vulnérabilité aurait pu affecter des centaines de millions de dispositifs. Après avoir découvert le bug de Bash, les hackers ont immédiatement testé les sites web pour savoir lesquels étaient les plus exposés. De nombreuses compagnies, dont Apple, ont rapidement corrigé le bug, mais le bug de Bash est toujours potentiellement dangereux pour les serveurs web faisant fonctionner de nombreux sites.

Cela dit, ne vous inquiétez pas. Vous êtes sans doute hors de danger, vu que la plupart des éditeurs de logiciel ont corrigé le bug. Mais comme on n’est jamais trop prudent, vous pouvez vous protéger en mettant à jour votre ordinateur et vos dispositifs, en installant la dernière actualisation logicielle.

Pas de panique

Il semblerait que les failles de sécurité sont devenues monnaie courante de nos jours, mais bien qu’elles échappent à notre champ d’action, vous pouvez vous protéger par des moyens simples à mettre en œuvre.

Tout d’abord, vous pouvez utiliser des générateurs de mots de passe, pour s’assurer qu’ils sont tous distincts et incassables. Utilisez l’authentification en deux étapes dès que possible, mettez à jour vos logiciels à la dernière version, car les actualisations contiennent souvent des patchs de sécurité et des corrections de bugs. Et autant que possible, évitez les applis développées par des tiers ou des services aux règles de sécurité ou aux paramètres nébuleux.

A lire aussi:

Article original de Zuzanna Blaszkiewicz– Softonic.com. Traduit et adapté de l’anglais.

On a piraté mon compte Gmail! Que puis-je faire?

Quand la réalité vire au cauchemar: vous vous réveillez et constatez que quelqu’un vous a volé votre compte de courrier électronique! Le mot de passe a été changé et vous ne savez pas comment faire pour récupérer vos messages. Impossible d’accéder à quoi que ce soit… Je sais de quoi je parle, ça m’est arrivé. Mais j’ai pu trouver une solution!

Il est 9 h 15. Une matinée tranquille s’annonce. J’entre au bureau, je démarre mon ordinateur et me prépare à travailler. Tout se passe comme d’habitude jusqu’au moment d’ouvrir mon courrier électronique. Le mot de passe Gmail a été modifié. J’imagine d’abord le pire, mais je préfère croire à l’erreur humaine et je tape à nouveau mes codes d’accès sur le clavier. Rien à faire.

Pendant ce temps sur mon téléphone, Twitter et Facebook se sont remplis de messages et de notifications. Pourquoi? Mes contacts ont reçu un étrange mail provenant de mon compte.

Voici le texte du courriel:

J’espère que cela vous arrivera à temps. Je suis allé en voyage à Grenade (Espagne) et pendant mon séjour on m’a volé mes papiers d’identité, ainsi que mon passeport international et ma carte de crédit qui se trouvait dans mon sac. Pour régler le problème, ma banque a besoin de temps pour traiter toutes les données nécessaires afin de tout rétablir. En attendant, j’ai pensé faire appel à votre aide pour au moins pouvoir rentrer dans mon pays, il me faut la somme de 980€ pour couvrir mes dépenses. Pouvez-vous venir à mon secours et envoyer de l’argent via MoneyGram? Tenez-moi au courant.

L’horreur! Que s’est-il passé? Quelqu’un est entré dans mon compte, a modifié les données d’accès et a transféré ce mail à tous mes contacts en créant la typique chaîne de spams. Le message est tout à fait crédible. On dirait bien un texte écrit dans une situation désespérée.

Que faire? Comment mettre un frein à cette situation et parer la fraude? Une fois dissipée la sensation de panique, il faut savoir réagir. Vite et bien.

Comment rétablir le compte

Dans mon cas, j’ai choisi l’approche standard indiquée par Google. J’ai rempli le formulaire de récupération d’un compte, dans lequel Google requiert de nombreuses données. Vous devez les fournir en essayant d’être le plus précis possible. Voici le premier écran du formulaire.

Il va falloir démarrer de suite la procédure en spécifiant qu’il vous est impossible d’entrer dans votre propre compte.

À ce stade, Google m’a demandé les données suivantes:

date de création du compte
nom du libellé (label)
au moins cinq adresses de courrier électronique contactées fréquemment à partir de mon compte
services liés à Gmail les plus utilisés avec mon adresse e-mail (Calendrier, Gtalk)
numéro de téléphone mobile
question de sécurité

Pour ceux qui ne connaissent pas le libellé, ou label, ne vous inquiétez pas. Il s’agit du nom du dossier dans lequel vous organisez vos courriers électroniques.

Dans mon cas, les libellés sont: Adventure, Arcade, Personal, Work.

La possibilité de récupérer le compte dépend de la quantité des données fournies à Google. Pour ce faire, je me suis efforcé de rassembler le maximum d’informations, pour démontrer qui est le véritable propriétaire du courrier électronique.

Nous y sommes presque

C’est fait. Après cette procédure, j’ai enfin réussi à indiquer un nouvel e-mail de récupération et j’ai pu accéder à mon compte. Une fois à l’intérieur, j’ai trouvé la langue ourdoue par défaut et j’ai découvert que j’avais perdu tous mes chats et projets.

J’ai commencé à voir le bout du tunnel! J’ai juste eu à m’armer de patience pour revenir aux réglages initiaux et transformer la configuration du thème.

Ma page est un véritable chaos. Je dois d’abord paramétrer la langue. Grâce à la mémoire et après plusieurs tentatives, j’ai réussi à la rectifier. Pour ce faire, il vous suffit d’une petite astuce: vous devez corriger la langue de Gmail comme indiqué sur l’image.

Dernière étape: je dois réactualiser le thème.

Nous y sommes, mon mail est à nouveau comme avant, mais il est temps d’y remettre un peu d’ordre. Je veux consulter l’activité inhabituelle dans l’historique et comprendre ce qu’il s’est passé. À ce moment-là, j’ouvre la chronologie des actions pour consulter la liste des mouvements.

Sur cette image, on voit clairement que mon compte a subi deux attaques de hacker: une à 2 h 16 en Italie, et la seconde à 9 h 15 au Nigeria. Dans mon cas, le hacker a modifié le mail de récupération en introduisant une adresse fictive ssssssss@pino.it, ce qui a fortement compliqué la procédure de récupération de mon compte. Heureusement, le hacker n’a pas créé de nouveau protocole de validation en deux étapes. Si tel avait été le cas, la récupération de mon compte aurait était impossible.

Si le hacker n’avait pas changé le mail de récupération en mettant le sien, j’aurais sûrement pu sauter toutes les étapes du module en effectuant une simple modification de mot de passe. Google m’aurait signalé l’activité suspecte et seulement demandé de m’identifier pour confirmer mon identité.

Rapidité, efficacité et mesures de sécurité

Qu’est-ce qui m’a sauvé? Dans de telles situations, vous devez conjuguer efficacité, mémoire et chance. Cela ne se termine pas aussi bien à chaque fois. Il est parfois impossible de rétablir le compte et Google procède alors à sa suppression automatique, car il est compromis.

J’avais peur d’égarer mes données et de nombreuses années de courriels. En outre, je craignais de contaminer les comptes de mes amis. Au lieu de cela, mes courriers électroniques étaient tous là, quel soulagement! Si je les avais perdus, j’aurais dû remplir le formulaire de récupération des mails. La récupération de votre adresse n’est pas garantie, mais c’est une très bonne tentative.

Pour mieux me protéger, j’ai modifié tous les mots de passe de mes principaux comptes de réseaux sociaux, j’ai activé la double procédure d’identification et j’ai imprimé les codes de vérification. Ces derniers sont particulièrement utiles, car ils vous permettent de démarrer le recovery dans une situation de crise, lorsque vous ne pouvez pas accéder à votre compte et que vous n’avez pas de téléphone portable (pour recevoir le code de sécurité).

Une situation de crise peut être, par exemple, la perte d’un smartphone à l’étranger avec le voleur qui bloque tous les accès au mail. Si les codes sont imprimés, dans de nombreux cas, il est possible de procéder à la récupération de la boîte électronique.

Vous devez fournir toutes les données avec précision. N’oubliez jamais votre mail de récupération et la réponse secrète à la question de sécurité : elle peut être la clé pour vous réapproprier votre compte. Jetez un œil à la checklist en 9 étapes de Gmail, choisissez bien votre mot de passe (il est conseillé de le composer avec des caractères spéciaux et des symboles) et optez pour une validation en deux étapes. Enfin, vous pouvez aussi consulter nos recommandations pour la protection d’un compte contre les hackers et les curieux.

A lire aussi:

Article original de Marco Albano – Softonic.com. Traduit et adapté de l’italien.

Qu’est-ce que la validation en deux étapes et pourquoi l’utiliser dès maintenant ?

Cadenas

Un mot de passe n’est pas une mesure de sécurité infaillible. Il peut être volé et parfois même deviné si son utilisateur choisit un code trop simple. Mais les autres modes de sécurité ne sont hélas pas exempts de failles. Ainsi les clés ou empreintes digitales peuvent être volées, copiées ou obtenues sous la contrainte.

La solution? Utiliser plus d’une clé. Beaucoup de pages Web commencent maintenant à appliquer ladite validation en deux étapes. Désormais, en plus de demander le mot de passe, un code supplémentaire est requis par téléphone mobile.

Nous allons vous expliquer le plus simplement possible en quoi consiste cette vérification en deux étapes, comment l’activer sur vos applications Web préférées et comment optimiser son efficacité (car, ne l’oublions pas, aucune mesure de sécurité n’est sûre à 100% si elle est utilisée sans précaution).

Continue reading “Qu’est-ce que la validation en deux étapes et pourquoi l’utiliser dès maintenant ?”