Gardez votre mot de passe secret

Je vais vous raconter une petite anecdote.

Un de mes clients G Suite est un bureau d’avocats. Je leur ai maintes fois conseillé de garder leurs mots de passe personnels et secrets. Mais ils n’ont pas suivi mes conseils et ont continué à partager les mots de passe entre collaborateurs. Leur technicien en informatique en freelance connaissait aussi les mots de passe ! C’était apparemment plus pratique pour eux car chaque collaborateur pouvait ouvrir la boîte de son collègue en cas de besoin.

Jusqu’au jour où je reçois un coup de fil d’appel à l’aide : « Nos boîtes sont vides ! Rien dans la corbeille. »

Que s’est-il passé ? Dans la nuit, quelqu’un de malveillant a ouvert les boîtes de messagerie une par une, a effacé la totalité du contenu puis le contenu de la corbeille. Je vous laisse imaginer les conséquences. Heureusement, nous avons pu récupérer le contenu grâce aux outils de récupération disponibles dans l’administration. Mais cet individu aurait pu envoyer des emails à leurs clients, à la presse ou je ne sais qui.

La morale de l’histoire est simple : gardez votre mot de passe secret. Il est aussi fortement recommandé de suivre ces conseils les Google pour créer un mot de passe sécurisé >

Attention au phishing

Une technique très connue des pirates est de se faire passer pour Google, Facebook, Apple ou tout autre fournisseur d’accès et de vous manipuler pour obtenir votre mot de passe.

L’anecdote

Cela est arrivé au Directeur général d’un groupe d’hôtellerie qui est aussi notre client. Une fois le mot de passe obtenu, le pirate ne l’a pas changé sachant que ça ne lui nuirait en rien, l’administrateur pouvant lui restituer un mot de passe rapidement.

Le pirate a néanmoins envoyé des emails aux interlocuteurs du D.G. Il s’est fait passer pour lui sans qu’il s’en soit rendu compte plusieurs jours, sinon plusieurs semaines. Jusqu’à ce qu’un de ses interlocuteurs l’ait prévenu par téléphone. Si personne ne l’avait prévenu, qui sait combien de temps ça aurait duré. Sans compter que le pirate visualisait pendant ce temps tous les échanges du D.G.

Après avoir enquêté, nous nous sommes rendu compte que c’était un employé de l’hôtel  qui était à l’origine du piratage.

Comment se passe le phishing ?

Vous pourriez commencer par recevoir un email ressemblant à ça :

phishing-email

Le message est convaincant : il est bien écrit et laisse entendre l’urgence de l’alerte. Il vous est déjà arrivé de recevoir des alertes de sécurité par le passé qui ressemblaient à ça. Vous décidez de cliquer sur le lien pour modifier votre mot de passe. Et vous tombez sur une page comme celle-là :

phishing-page

Encore une fois, ça a l’air tout à fait vrai. Notez l’URL encadré en rouge. Il y a même « google » dans l’adresse. Et vous décidez d’entrer votre mot de passe. Vous êtes redirigé vers une autre page tout aussi fausse où vous croyez modifier votre mot de passe. Mais ce que vous ne savez pas, c’est que vous venez de donner votre mot de passe à un pirate sans même vous en rendre compte.

Jusqu’à ce que, le lendemain matin, votre compte soit inaccessible. Car pendant la nuit, le pirate a accédé à votre compte et a changé votre mot de passe. Et c’est le meilleur cas de figure car il se pourrait qu’il ne fasse que downloader votre boîte de réception.

Que faire contre le phishing ?

Premièrement, sachez que Google, ou tout autre fournisseur de service ne vous demandera jamais de changer votre mot de passe. Encore moins en vous envoyant un email sur le compte soit disant compromis. S’il croit que votre compte l’a véritablement été, il enverra un email sur votre adresse secondaire si vous en avez, ou à votre administrateur et ne vous laissera pas vous connecter à moins de vérifier votre identité.

Deuxièmement, quand vous recevez ce genre d’emails, vérifiez s’il est écrit correctement, l’adresse de l’expéditeur et l’URL de la page où il vous est demandé de vous connecter. Si vous avez le moindre soupçon, changez votre mot de passe depuis l’interface de votre compte et non depuis une page dont vous avez reçu le lien par email.

Enfin, je vous conseille vivement de mettre en place la validation à deux étapes.

Activez la validation à deux étapes

La validation à deux étapes consiste à demander à votre fournisseur de déclencher une deuxième étape lors de toute tentative de connexion, comme l’envoi d’un code par SMS ou l’affichage d’une confirmation sur votre téléphone portable.

Dans l’éventualité qu’un pirate ait obtenu votre mot de passe, s’il n’a pas en main votre téléphone, il lui est impossible de se connecter. De plus, si quelqu’un essaie de se connecter et saisit effectivement votre mot de passe, vous recevez une notification. C’est le meilleur moyen de savoir si votre mot de passe a été compromis.

Pour un compte Google, cliquez ici pour activer la validation à deux étapes >

Voici la liste des deuxièmes étapes possibles avec un compte Google :

  • Code reçu par SMS sur un téléphone vérifié
  • Message vocal sur le téléphone vérifié
  • Invite sur l’application Google de iOS ou Android
  • Invite sur l’application Google Authenticator
  • Clé de sécurité sur un appareil USB
  • Code de sécurité à usage unique imprimable

Notez que l’administrateur de votre compte devra activer cette fonctionnalité si vous utilisez G Suite. Voir la procédure >

À titre d’exemple, si vous avez activé et configuré la validation avec une invite sur votre téléphone, après chaque tentative de connexion, vous recevrez un message sur votre téléphone qui ressemble à celui-là :

Il vous suffira de cliquer sur OUI pour que votre ordinateur vous connecte.

Technique pour choisir un mot de passe sécurisé

Pour ceux qui ont peur d’oublier leur mot de passe, je vous propose une technique :

  1. Trouvez une phrase ou une séquence de mots que vous ne risquez pas d’oublier. Exemple : « Tout arrive à point à qui sait attendre » ou le prénom de vos frères et sœurs du plus aîné ou plus jeune.
  2. Prenez la première lettre de chaque mot comme Taàpàqsa
  3. Ajoutez un nombre qui n’est pas une date : par exemple votre taille, le numéro de votre immeuble. On va dire 180 pour 1m 80
  4. Et vous avez un mot de passe très difficile à trouver Taàpàqsa180

Une autre technique consiste à aligner des consonnes et des voyelles comme dans un vrai mot. Exemple : Gaseribo. De cette façon, le mot de passe est prononçable et donc plus facile à mémoriser.

Suivez ces conseils par Google pour créer un mot de passe sécurisé >

Conclusion

Sécuriser son compte n’est pas quelque chose de difficile, mais nous avons tendance à le négliger jusqu’au jour où on a un problème. Et certaines fois, les problèmes sont irréversibles. C’est comme une assurance, on n’est content de l’avoir payée que le jour où on a souffert d’un incident.

Ne prenez pas de risques inutiles. Protégez-vous 😉

About Wahid Lahlou

Multiple entrepreneur, passionné des nouvelles technologies, Wahid a fondé GoApps pour devenir l’un des premiers partenaires G Suite au Maroc. « Les entrepreneurs, TPE et petites PME sont au cœur de notre économie. Mais pour réussir dans un monde qui ne cesse de changer, elles doivent avoir accès aux technologies les plus innovantes. »