🎤 Interview - Mots de passe, VPN... Des conseils de cybersécurité pour l'été (Benoît Grunemwald, ESET)

Benoît Grunemwald: [0:01] Alors, on me demande souvent, mais si mon gestionnaire de mots de passe se fait pirater ? La réponse est bien entendu, il n'y a aucune solution qui est fiable à 100%, mais la probabilité que ça arrive est quand même assez faible, comparée à si vous laissez vos mots de passe, comme je le disais tout à l'heure, dans un fichier texte, dans un fichier, un navigateur ou un fichier Excel. Monde Numérique : [0:29] Bonjour Benoît Grünemwald. Benoît Grunemwald: [0:30] Bonjour Jérôme. Monde Numérique : [0:31] Experts cybersécurité chez ESET, on se retrouve pour ce rendez-vous régulier en partenariat entre ESET et Monde Numérique, avec une actu chargée ce mois-ci encore, Benoît, et notamment cette impressionnante fuite de données. Monde Numérique : [0:45] 16 milliards de mots de passe dérobés, lâchés dans la nature. La presse spécialisée s'est un petit peu emballée en parlant de plus grandes fuites de données de l'histoire, ou bien effectivement c'est quelque chose d'historique. Benoît Grunemwald: [1:01] Alors, ce qui est historique, c'est la compilation de toutes ces informations qui nous concernent, nos identifiants, c'est-à-dire login, mot de passe. Et ce n'est pas une fuite qui a été chercher toutes ces informations chez un prestataire. C'est une sorte de combo liste. Ça veut dire que c'est une compilation de différentes fuites. Ce qui, d'ailleurs, a été dans l'actualité récemment, où des pirates ont dit « on a récupéré des données sur l'éducation nationale » et en fait, c'était encore une fois des combolistes, donc des compilations de différentes fuites de données. Mais... C'est quand même dangereux parce que si ces fuites sont récentes, ça veut dire que nos logins et nos mots de passe, ceux que l'on utilise au quotidien, sont dans la nature. Monde Numérique : [1:44] Alors évidemment, on ne sait pas d'où ça vient ni qui a fait le coup. On sait un petit peu qui serait concerné ? Benoît Grunemwald: [1:51] Alors, les Français sont concernés. Il y a une certaine régionalité dans les combolistes. Ça va dépendre des différentes fuites. On sait qu'en 2024, il y a eu quand même une très forte prévalence de fuites de données en France. La CNIL avait noté que c'était vraiment une année record, doublement du nombre de violations de données, c'est le terme technique, pour les fuites qui concernent plus d'un million d'entrées. On était passé de 20 à 40. Donc, on imagine que ces données vont se retrouver au fur et à mesure, soit qu'elles sont vendues, soit qu'elles sont données, parce que les criminels n'arrivent pas à les vendre, dans ces fameuses combolistes. Et ce qui veut dire qu'à la fois nos emails, nos mots de passe, s'ils sont fuités, mais aussi nos informations bancaires et pourquoi pas nos téléphones peuvent se retrouver dans la nature. Donc, bien entendu, on est concerné. Monde Numérique : [2:39] On dit que ce sont des données qui proviendraient de ce qu'on appelle des infostyleurs. On peut rappeler ce que c'est ? Benoît Grunemwald: [2:43] Oui, ce sont des logiciels malveillants qui sont ce qu'on appelle « as a service ». « As a service », ça veut dire en location. C'est-à-dire qu'il y a un éditeur de logiciels malveillants qui va mettre à disposition de ses affiliés des panneaux de contrôle à la location et donc on va payer un certain montant pour avoir des versions toujours mises à jour qui vont donc tenter au maximum de passer les barrières de ce qu'on appelait avant les antivirus et qui vont sur nos ordinateurs aller voler les logins et les mots de passe, notamment ceux que l'on enregistre dans des navigateurs web qui sont assez faciles à aller chercher ou alors pire, si on utilise un fichier Word ou un fichier texte ou un fichier un tableur pour mettre ses logins et ses mots de passe et bien ces logiciels vont les récupérer et ils sont tellement importants et d'ailleurs la France en ce qui concerne un en particulier l'UMA Stealer a été en deuxième position des détections faites par Microsoft parce qu'il y a eu une opération de police justice qui a été montée conjointement avec Europol Eurojust Microsoft nous aussi on y a participé pour démanteler ce fameux réseau d'infostyler c'est quelque chose qui est vraiment extrêmement... Benoît Grunemwald: [3:56] Préjudiciable pour nous, utilisateurs. Monde Numérique : [3:58] Justement, est-ce qu'on peut en profiter pour rappeler quelques conseils et en particulier à l'approche de l'été, d'une manière générale en matière de cybersécurité ? Conseils pour la gestion des mots de passe ? Est-ce qu'il faut se méfier du stockage dans les navigateurs ? Benoît Grunemwald: [4:11] Le stockage dans le navigateur, effectivement, n'est pas l'endroit où on recommande de stocker ces mots de passe. Ce n'est pas l'endroit le plus sécurisé. On va plutôt préférer un gestionnaire de mots de passe. Alors, on me demande souvent, mais si mon gestionnaire de mots de passe se fait pirater, La réponse est bien entendu, il n'y a aucune solution qui est fiable à 100%, mais la probabilité que ça arrive est quand même assez faible comparée à si vous laissez vos mots de passe, comme je le disais tout à l'heure, dans un fichier texte, dans un navigateur ou un fichier Excel. Monde Numérique : [4:42] Dans un gestionnaire de mots de passe, en principe, tout est chiffré, non ? Benoît Grunemwald: [4:46] Exactement, et c'est pour ça qu'il y a quand même moins de chances de se faire pirater son gestionnaire de mots de passe que de laisser ses mots de passe dans son navigateur ou dans un fichier texte en clair. Et par contre, la bonne précaution, c'est de mettre un mot de passe très fort, généralement une phrase, pour déverrouiller son gestionnaire de mots de passe. Et puis surtout, à chaque fois qu'on veut déverrouiller son gestionnaire de mots de passe, on utilise l'authentification multifacteur. et ça, ça va être très, très compliqué pour les cybercriminels de pouvoir rentrer dans notre gestionnaire de passe. Monde Numérique : [5:18] C'est plus contraignant, le petit SMS ou le petit code par mail, etc. Benoît Grunemwald: [5:22] L'application pour déverrouiller avec le code, ça, c'est vraiment très pratique. On n'a pas besoin de capter le réseau où qu'on soit, même à l'étranger, si on n'a pas de données ou si on ne veut pas utiliser un Wi-Fi, eh bien, on va pouvoir recevoir, enfin, avoir ce code à six chiffres. C'est très sécure et au final, c'est quand même très pratique. Et si vous l'utilisez sur mobile, en fait le code on va vous le demander une fois après vous activez la biométrie moi je l'ai sur iOS on scanne mon visage ça déverrouille le gestionnaire de mots de passe c'est hyper sécure Android pareil c'est très très facile d'utilisation. Monde Numérique : [5:54] Autre conseil de sécurité pour l'été, Benoît ? Benoît Grunemwald: [5:57] Eh bien, je dirais justement en lien avec ce gestionnaire de mots de passe, réfléchir aux différents mots de passe que l'on utilise, installer le gestionnaire de mots de passe, passer avec le temps qu'il faut, parce que ça peut prendre un peu de temps, les différents comptes qui sont les nôtres sur le gestionnaire de mots de passe. Et puis, si possible, pour les sites et ou les applications qui les acceptent, activer l'authentification multifacteur. Ça, c'est vraiment le must. Et ça évite que si on nous vole justement notre login et notre mot de passe avec un infostyler, et bien que le pirate puisse quand même rentrer dans le compte. Monde Numérique : [6:28] J'imagine qu'il faut également toujours veiller aux mises à jour des différents logiciels ? Benoît Grunemwald: [6:35] Oui, effectivement, les mises à jour sont un point crucial. La plupart des outils modernes numériques proposent une mise à jour automatique ou en tout cas nous font des rappels, ce qui est vraiment très bien parce que ça corrige les vulnérabilités, en plus d'amener des nouvelles fonctionnalités, ce qui est aussi plaisant. Mais il faut penser à tout ce qui est connecté chez nous et bien souvent soit sur la box soit grâce à des applications on va pouvoir faire un tour, généralement ça compte les adresses IP ça veut dire le nombre d'appareils chez nous et on est souvent surpris du nombre d'appareils que l'on possède et qu'il faut mettre à jour la télé, l'imprimante les caméras surtout si on se dit tiens je vais mettre une caméra parce que je pars en vacances tout ça doit être mis à jour et surtout on met un mot de passe différent et fort sur chacun de ces appareils, grâce au gestionnaire de mots de passe, ça ne sera pas une plaie. Monde Numérique : [7:26] Absolument. Et alors, une fois qu'on est en vacances, et qu'on va se connecter, par exemple, à des réseaux Wi-Fi dans des résidences, des hôtels, etc., vous recommandez l'utilisation d'un VPN ? Benoît Grunemwald: [7:38] Tout à fait. Le VPN va permettre, sur des réseaux Wi-Fi, qui sont quand même, dans la plupart du temps, je pense à des lieux publics, des gares, etc., où le niveau du réseau Wi-Fi, la sécurité du réseau Wi-Fi a bien augmenté, Donc finalement, on est beaucoup moins côte à côte et visible par rapport aux autres usagers. Mais si on est dans des endroits où le réseau Wi-Fi est moins sécurisé, effectivement, le VPN va permettre de créer ce fameux tunnel chiffré d'un point A à un point B. Et ça limite un peu le risque lié aux attaques sur nos smartphones. Monde Numérique : [8:15] Ça augmente la confidentialité. On ne peut pas savoir si le réseau est plus ou moins sécurisé. Benoît Grunemwald: [8:20] Exactement. Monde Numérique : [8:20] Très difficile. Benoît Grunemwald: [8:21] Alors, si on pourrait, avec cette fameuse application qui permet de savoir ce que l'on a comme appareil connecté chez nous, on pourrait regarder si on voit d'autres appareils connectés au réseau Wi-Fi. Ça peut être un indice. Mais bon, le plus simple étant d'utiliser le VPN dès qu'on est sur un réseau qui n'est pas le nôtre. Et comme ça, on se pose pas à l'extérieur. Monde Numérique : [8:39] Ça, c'est des vacances de geeks, ça, Benoît. D'aller scanner les réseaux Wi-Fi dans les gares et tout. Je veux dire, on est d'accord que le commun des mortels je ne s'amuse pas à ce petit jeu-là. Benoît Grunemwald: [8:48] Non. Monde Numérique : [8:49] C'est quoi l'application dont vous parlez qui permet de scanner les adresses IP ? Benoît Grunemwald: [8:53] Alors, il y en a plusieurs. Il y en a des payantes, généralement, qui sont inclus dans les suites de sécurité des éditeurs de solutions de sécurité. Généralement, la suite la plus haute propose un gestionnaire de mots de passe, un VPN. Vous en avez qui sont payants et qui sont à part. Je pense par exemple à Proton, qui fait des emails, du drive, du calendrier aussi, Société Suisse, qui est généralement bonne presse. Et il y a notamment une version ProtonVPN, une version gratuite qui a un certain nombre de limitations, on va dire, qui est quand même une excellente alternative à des versions payantes. Et puis, une version payante, l'idéal étant, de toute façon, si on prend un abonnement chez Proton, finalement, de prendre la suite. Ça permet d'avoir des emails, ça permet d'avoir du drive. Tout ça est assez sécurisé, plutôt facile d'utilisation. Et c'est une bonne alternative quand on parle de souveraineté ou d'autonomie stratégique à des acteurs qui vont essayer peut-être d'utiliser nos informations pour faire du marketing. Monde Numérique : [9:55] Justement, à propos de marketing, on souffre tous de ces appels téléphoniques intempestifs, de ce spam commercial par téléphone. Comment se protéger ? Benoît Grunemwald: [10:06] C'est une bonne question parce qu'on a vu notamment qu'il y avait des appels en plus 44 qui nous ciblaient et qui nous proposaient des arnaques, ce qu'on appelle à la tâche. Monde Numérique : [10:15] Plus 44, ça veut dire que ça vient de l'étranger ? Benoît Grunemwald: [10:17] Plus 44, c'est l'Angleterre. Et effectivement, ils vont nous proposer des arnaques en nous disant « faites des petits commentaires ou allez liker des posts sur des réseaux sociaux et pour ça, je vais vous donner 5, 10, 20 euros. » Au début, ça va fonctionner. On va même recevoir, si on donne un RIB, parce qu'on est vraiment très sport, très confiant, on va recevoir au début une petite somme, histoire de nous appâter. Puis en fait, après, on va travailler pour rien. On va croire que l'on a gagné 500 euros. Et au moment où on va vouloir les récupérer, les cybercriminels vont disparaître. Et donc, pour éviter tous ces spams et en plus le démarchage téléphonique, qui ne rentre pas dans le cadre de la loi, parce que maintenant, c'est encadré, Eh bien, il y a une application qui s'appelle Begone, B-E-G-O-N-E, qui s'installe sur iOS et ou Bloctel sur Android. Elles sont deux applications qui font très bien le job pour filtrer les appels. Alors, sur iOS, on va voir que ça ne sonne pas, mais le numéro s'affiche quand même dans les appels manqués et il est tagué Begone, ce qui fait qu'on peut quand même soi-même aller vérifier si c'est un appel illégitime ou pas. Moi, ça fait quelques mois que je l'ai. La plupart du temps, le blocage est tout à fait légitime. Monde Numérique : [11:28] D'accord. En attendant des solutions, par exemple, comme ce qu'a montré Apple il y a quelques temps, un système qui sera capable de décrocher, de répondre, de détecter s'il s'agit de télémarketing ou pas. Et à ce moment-là, éventuellement, de bloquer ou de faire sonner le téléphone pour qu'on y réponde si c'est un appel légitime. Benoît Grunemwald: [11:46] Oui, et on n'en est pas loin parce que si la personne vous laisse un SMS, Si la personne vous laisse un message vocal, vous pouvez le transcrire et donc vous pouvez écouter, lire ce que la personne a dit, ce qui fait que ça fait une forme de filtrage qui est intéressant. Monde Numérique : [12:04] Encore une question, Benoît. On utilise de plus en plus les chatbots d'intelligence artificielle. Est-ce qu'il y a des précautions particulières à prendre quand on pose des questions à ChatGPT ou à Le Chat ou autres ? Benoît Grunemwald: [12:15] Oui, alors la première, et je vais revenir sur les conseils que j'ai donnés au début, c'est un, utiliser une adresse email dédiée, donc pas par exemple prénom.nom, mais par exemple, si vous utilisez le chat, vous dites lechat.42@proton, par exemple. Monde Numérique : [12:32] Pour se connecter. Benoît Grunemwald: [12:36] Exactement, pour créer le compte et se connecter. Et comme cela, ça va permettre qu'on ne va pas faire de lien entre vous, personne, ou en tout cas, ce sera plus difficile, entre vous, personne, et l'usage que vous faites de ce LLM. Monde Numérique : [12:48] D'accord. Même avec des services payants, parce que, par exemple, le normalement de chaque GPT payant est censé ne pas exploiter, récupérer nos données. Benoît Grunemwald: [12:56] C'est la promesse, en tout cas. Oui, et en fait, ce que l'on voit, c'est que ces services peuvent être vulnérables. On l'a vu à un moment où certains pouvaient accéder au compte d'un autre et donc son historique. Et donc, si vous n'avez pas utilisé votre adresse e-mail, même si on accède à votre compte, on va avoir du mal à savoir qui vous êtes. Et notamment, il y a un autre avertissement que l'on peut donner. C'est la CNIL qui en parlait dans son rapport d'activité 2024. C'est les informations que l'on va partager avec cette intelligence artificielle prudence sur tout ce qui est vraiment privé sexualité, état de santé, questions de santé voilà, pourquoi pas alors il y a un mode incognito par exemple dans Perplexity est-ce que c'est valable ou pas ça je ne peux pas en juger par contre c'est certainement mieux d'utiliser ce mode incognito quand on a des questions très personnelles voire pourquoi pas de manière ponctuelle créer un autre compte, une adresse email jetable que l'on va utiliser que pour ça, encore une fois, avec un minimum d'informations sur nous, à la fois à la création de l'adresse e-mail, mais aussi au moment de la création du compte. Et comme ça, ça évite qu'il y ait des fuites de données potentielles sur nous et que ces IA, ou des personnes qui pirateraient ces IA ou qui pirateraient notre compte, ne puissent avoir trop d'informations sur nous. Monde Numérique : [14:13] Merci pour tous ces conseils, notamment un conseil de sécurité pour l'été, où, un, on n'est pas forcément dans notre environnement habituel, deux, on a peut-être la vigilance qui se relâche un peu. Donc, ça valait le coup de faire le point. Merci beaucoup, Benoît Grünemwald, d'experts cybersécurité chez ESET. Benoît Grunemwald: [14:31] Merci, Jérôme. À bientôt. Monde Numérique : [14:32] Et on retrouve cette interview en vidéo, en intégralité sur la chaîne YouTube de Monde Numérique.