La menace des ransomwares et du vol de données continue d’évoluer. Les adversaires exploitent de plus en plus les périphériques réseau non corrigés et le vol d’identifiants, ainsi les techniques d’ingénierie sociale peuvent transformer les outils du quotidien en véritables vecteurs d’attaque.

C’est pourquoi une défense pratique et priorisée est plus importante que jamais.

C’est pourquoi le Mois de la Cybersécurité est important dans le monde entier. Il permet aux utilisateurs du quotidien de recentrer leurs objectifs en matière de cybersécurité. Cette année, le thème du Mois de la Cybersécurité de la National Cybersecurity Alliance est “comment assurer sa sécurité en ligne ?“, mettant ainsi l’accent sur des gestes simples et accessibles à tous que chacun peut adopter pour renforcer sa sécurité en ligne : de petits gestes qui se traduisent par une réduction significative des risques pour les particuliers, les familles et les entreprises.

Dans la même veine, nous voulions partager 10 conseils simples que tout le monde peut mettre en œuvre dès aujourd’hui afin d’améliorer sa posture de cybersécurité et mieux être protégé en ligne. Utilisez cette courte checklist pour bien démarrer : adoptez les bases en matière de sécurité de manière cohérente, renforcez les contrôles les plus importants et créez des routines qui maintiennent ces protections à jour et les rendent plus efficaces.

Les reconnaissances faciales et les empreintes digitales sont plus sûres

Utilisez des fonctionnalités telles que Face ID ou les empreintes digitales pour déverrouiller vos équipements dès que cela est possible. Les données biométriques sont plus difficiles à voler que les codes d’accès, et de plus les appareils chiffrent ces données, de sorte qu’elles ne quitteront pas votre téléphone et ne pourront pas être réutilisées ou récupérées par phishing. C’est une simple mise à niveau qui rend le vol beaucoup plus difficile.

2. Privilégiez les plateformes d’application fiables

Les applications provenant de sources non officielles, comme des sites Web douteux ou des plateformes non officielles, peuvent dissimuler des malwares et voler vos données. Restez fidèle aux sources fiables telles que l’App Store d’Apple, le Microsoft Store ou Google Play : elles recherchent le contenu douteux et disposent de normes de sécurité et de confidentialité qui peuvent identifier les activités malveillantes. Si une application n’est pas répertoriée, téléchargez-la uniquement à partir du site Web officiel du développeur ou bien utilisez plutôt la version Web.

3. Adoptez une posture paranoïaque courtoise

Les cybercriminels exploitent l’urgence pour vous faire agir avant même que vous ne réfléchissiez, comme un faux appel bancaire vous avertissant que votre compte est gelé. L’experte en sécurité Rachel Tobac appelle cette approche la “paranoïa courtoise” : restez calme, soyez courtois, mais restez prudent et vérifiez. Les institutions de confiance ne demanderont jamais d’informations sensibles par téléphone ou par SMS. Si quelque chose ne va pas, contrôlez le canal émetteur, raccrochez et appelez plutôt le numéro officiel. Un moment de scepticisme courtois peut stopper une attaque avant qu’elle ne commence.

4. Sauvegardez vos données

Si les groupes de ransomware ont tendance à cibler les entreprises qui peuvent payer des rançons élevées, les particuliers ne sont pas pour autant épargnés. Si vous possédez des données sensibles et importantes, sauvegardez-les régulièrement et en toute sécurité. Utilisez un service Cloud de confiance ou un périphérique de stockage amovible que vous pouvez déconnecter une fois la sauvegarde terminée. L’objectif n’est pas seulement de récupérer des données, mais de supprimer complètement le “paiement de la rançon” de votre liste d’options.

5. Installez les mises à jour

Ne faites pas disparaître ces rappels de mise à jour. Il ne s’agit pas seulement de nouveaux émojis ou de fonctionnalités sophistiquées : ces dernières corrigent de graves failles de sécurité que les pirates adorent exploiter. Les vulnérabilités exploitées constituent le premier vecteur d’infection initial utilisé par les ransomwares dans notre rapport annuel sur l’état des ransomwares. Ainsi, lorsque votre téléphone, votre ordinateur, votre enceinte connectée, votre console de jeu (ou tout autre appareil connecté à Internet) vous demande une mise à jour, dites oui.

6. Méfiez-vous des vidéos “deepfakes” générées par IA ou des faux témoignages de célébrités

Avec l’essor des vidéos générées par IA, des acteurs malveillants utilisent les deepfakes de célébrités pour diffuser de fausses informations, “mettre en avant” de soi-disant “cadeaux” et “soutenir” de prétendus “produits”, et ainsi semer le chaos sur Internet. Au cours de l’année écoulée, le nombre de vidéos deepfakes apparaissant sur les fils d’actualité des réseaux sociaux des utilisateurs a augmenté, la plupart d’entre elles étant générées par IA à l’aide de portraits de célébrités. Dans un cas, les musiciennes Taylor Swift et Selena Gomez semblaient approuver les ustensiles de cuisine Le Creuset, ce qui a finalement orienté les utilisateurs ciblés vers une arnaque. Steve Harvey, un autre comédien et animateur de jeu télévisé, a exhorté les citoyens américains à réclamer un prix “gratuit” de 6 400 $. La qualité des vidéos deepfakes actuelles peut tromper même les internautes les plus avertis, mais il existe encore quelques indices évidents sur les deepfakes, selon le MIT Media Lab et vous pouvez les repérer, notamment la fréquence de clignement des yeux que le sujet de la vidéo affiche ou pas, ou si les ombres apparaissent correctement, par exemple.

7. Faites une pause avant de publier

Réfléchissez à deux fois avant de partager des informations personnelles en ligne. Les cybercriminels peuvent utiliser même des informations anodines, comme votre première voiture, le nom de votre animal de compagnie ou l’endroit où vous avez grandi, pour deviner des mots de passe et répondre à vos questions de sécurité. Ces quiz “amusants” et ces enquêtes marrantes ? Il peut s’agir de pièges à données déguisés. Avant de cliquer, de publier ou de répondre, posez-vous la question suivante : cela pourrait-il aider quelqu’un à se faire passer pour moi ? Si la réponse est oui, alors ne divulguez rien.

8. Utilisez un gestionnaire de mots de passe

Arrêtez de jongler avec des dizaines de mots de passe, ou pire, d’utiliser toujours le même. Un gestionnaire de mots de passe génère et stocke automatiquement des mots de passe complexes et uniques pour chaque compte que vous utilisez, lesquels sont verrouillés en toute sécurité derrière un mot de passe principal fort, une clé d’accès et/ou une authentification multifacteur (MFA). Gratuits ou payants, ces outils sont bien plus sécurisés que le fameux “Motdepasse123“.

9. Ne mordez pas à l’hameçon

Nous avons tous déjà vu des SMS ou des emails proposant une carte cadeau Amazon ou une PlayStation 5 gratuite si vous répondiez simplement à un “petit sondage” ou appeliez ce numéro pour fournir des informations personnelles. Ignorez le lien, supprimez le message et passez à autre chose. Votre intuition a généralement raison. Et si cela semble trop beau pour être vrai, c’est parce que c’est effectivement le cas !

10. Adoptez une authentification multifacteur plus résistante au phishing

Utilisez l’authentification multifacteur (MFA) autant que possible, mais allez au-delà des applications et des codes SMS traditionnels auxquels vous pensez certainement. Idéalement, les utilisateurs devraient utiliser des clés d’accès (passkeys) ou un jeton matériel (hardware token), qui sont tous deux plus résistants aux tentatives de phishing et qui offrent ainsi bien plus qu’un simple obstacle pour les adversaires motivés. Une clé d’accès est une méthode de connexion sécurisée et sans mot de passe qui utilise des clés cryptographiques pour authentifier votre identité, la rendant ainsi plus facile à utiliser et beaucoup plus résistante au phishing et au piratage que les mots de passe traditionnels. Alternativement, une clé de sécurité matérielle est un dispositif physique utilisé pour une connexion sécurisée qui agit comme un deuxième facteur d’authentification, offrant ainsi une protection solide contre le phishing et l’accès non autorisé et en obligeant les utilisateurs à appuyer ou à insérer la clé pour vérifier leur identité.

Adopter une approche de type prevention-first en matière de cybersécurité, comme le proposent de nombreux conseils présentés dans cet article, est le premier et le meilleur moyen de prévenir les cyberattaques contre un individu ou une entreprise. Si vous souhaitez améliorer votre cybersécurité, visitez sophos.com/prevention.

Billet inspiré de Cybersecurity Awareness Month: 10 tips to Stay Safe Online that anyone can use, sur le Blog Sophos.