Facebook renforce la sécurité de son site en lançant une nouvelle fonctionnalité qui permettra à chacun de voir l’historique de l’activité de son compte et se déconnecter à distance.

Vous êtes-vous déjà connecté sur votre compte Facebook sur un autre ordinateur que le votre (cybercafé, bibliothèque, travail) en oubliant de vous déconnecter ? Si votre compte n’a pas été déconnecté correctement, les personnes ayant accès à l’ordinateur pourront avoir accès à vos informations personnelles (messages, photos, vidéos) avec la possibilité de faire n’importe quoi en se faisant passer pour vous.

Facebook tente de résoudre ce problème en déployant progressivement une nouvelle fonctionnalité permettant de se déconnecter à distance. Pour accéder à cette fonctionnalité, il faut se rendre dans les paramètres du compte et ouvrir l’onglet “sécurité”.

Plusieurs informations sont disponibles :

• le type et le nom du périphérique
• le lieu et l’heure de connection
• le navigateur utilisé

Avec ces informations, vous serez en mesure de définir si une autre personne utilise (ou a utilisé) votre compte sans votre accord. Si tel est le cas, vous pourrez fermer la connexion non autorisée avant la réinitialisation de votre mot de passe et prendre d’autres mesures pour sécuriser votre compte et votre ordinateur.

Cette fonctionnalité manquait cruellement à Facebook. Google propose cette option pour Gmail depuis 2008.

1. Révéler son mot de passe à un thiers

La meilleure façon de se faire voler son mot de passe est de le révéler au grand jour. Plus il y aura de personnes ayant connaissance de celui-ci, plus les risques de se le faire voler seront importants. Dans l’idéal, soyez le seul à le connaître.

2. Utiliser toujours le même mot de passe

La plupart des internautes utilisent le même mot de passe pour tous les sites. Dès qu’un site nécessite d’avoir un compte, il est fortement recommandé d’utiliser un mot de passe différent.

Je vous accorde qu’il est difficile de tous les retenir. Vous pouvez hiarchisez les sites en trois catégories :

• Sites sensibles
  Il s’agit de votre banque en ligne ou de votre webmail favori. De manière plus générale, ce sont tous les sites que vous utilisez régulièrement et qui, s’ils étaient piratés, vous causeraient préjudice.
  Pour ces sites, il est primordial d’avoir un mot de passe différent pour chaque écran de connexion.

• Sites courants
  Ce sont tous les sites qui nécessitent une inscription permettant uniquement de vous identifier. La perte de ce compte ne vous causerait pas préjudice.
  Vous pouvez avoir un mot de passe identifique, à condition de respecter les autres règles.

• Sites douteux
  Il s’agit des sites internet peu ou pas connus. Si vous découvrez un nouveau site, méfiez-vous, vous ne connaissez pas les intentions du concepteur du site.
  Vous devez utiliser un mot de passe “bateau”, quitte à le modifier par la suite.

3. Utiliser un mot de passe peu complexe

Pour que votre mot de passe soit complexe, il faut :

• utiliser un mot de passe long (supérieur à 10 caractères)
• utiliser tous les caractères disponibles : caractères spéciaux (ex : @$€£;?=!:/+”), chiffres, espaces…
• utiliser des majuscules et des minuscules

Attention :

• Utiliser un mot de passe trop complexe peut aussi vous jouer des tours ! Si vous mettez beaucoup de temps pour l’écrire (c’est le cas notamment des mots de passe qui contiennent des chiffres ou des majuscules), les regards indiscrets pourront plus facilement retenir votre mot de passe…

• Malheureusement, certains sites n’autorisent pas tous les caractères spéciaux. Il n’y a aucune bonne explication qui pourrait légitimer cette pratique.

3. Utiliser un mot de passe facile à deviner

Pour cracker un mot de passe, les pirates utilisent plusieurs techniques :

• Essayer tous les mots (ou combinaisons) qui existent dans le dictionnaire les uns après les autres (on appelle cette technique l’attaque par brute force).
  Il est donc important d’avoir un mot de passe long, ce qui rend l’attaque par force brute plus longue et plus fastidieuse pour le pirate.

• Utiliser un mot de passe en rapport avec le détenteur du compte
  Cette technique est utilisée par les pirates qui ont suffisamment d’informations sur vous (nom de jeune fille, date de naissance, nom de votre chien, de votre passion).

4. Garder le même mot de passe pendant une longue période

Plus vous garderez votre mot de passe, plus vous aurez des chances de vous le faire dérober. Il faut donc changer de mot de passe régulièrement, c’est-à -dire au moins une fois tous les 2 mois.

5. Saisir ses mots de passe dans un lieu public

Comment lorsque vous saisissez votre code de carte bancaire, veillez à ce que personne ne puisse voir les touches que vous pressez.

Attention :

• une caméra de surveillance de qualité est en mesure de vous trahir
• les logiciels qui enregistrent les touches saisies (“keylogger” ou “enregistreur de frappes”) sont très répandus sur Internet. Il en existe des gratuits sur toutes les plates-formes.

6. Ecrire ses mots de passe

Votre mot de passe ne doit être écrit que dans votre tête. Par conséquent, il ne faut surtout pas :

• écrire le password sur un post-it en papier :
  N’oubliez jamais : les pirates fouillent dans vos poubelles. Ne laissez donc aucune trace écrite.

• dans un fichier texte :
  Si un pirate prend le contrôle de votre ordinateur ou si une personne vole votre ordinateur portable, il pourra avoir accès à tous les fichiers présents sur votre disque dur. Si vous souhaitez quand même utiliser un fichier texte pour mémoriser tous vos pass, pensez à crypter ce fichier et trouvez un nom pour le fichier n’ayant aucun rapport avec le contenu de ce dernier.
  Ex : ne pas utiliser “Mes mots de passe.doc” mais “Lectures d’hiver.doc”.

7. Autoriser son navigateur à retenir tous ses mots de passe

Je vous avais parlé d’une application permettant de voler votre mot de passe sur Firefox. Bien que Firefox soit le navigateur le plus sà»r et le plus rapide à l’heure actuelle, il faut toujours rester vigilant.

Je vous conseille d’enregistrer les mots de passe pour les sites courants et les sites douteux (voir point n°2). Sachez que, dans l’idéal, il ne faudrait pas en enregistrer : toute personne ayant accès à l’ordinateur pourrait voir votre liste de mot de passe (pendant une brève absence par exemple).

8. Consulter des sites internet douteux

La technique de phishing (appelé aussi hameçonnage) est de plus en plus utilisée. La méthode pour le pirate consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance.

A l’origine, ce sont des pirates qui voulaient voler les mots de passe des utilisateurs d’AOL. Pour se faire, ils se faisent passer pour un membre de l’équipe AOL et envoyait un message instantané à une victime potentielle. Ce message demandait à la victime d’indiquer son mot de passe, afin de, par exemple, « vérifier son compte AOL » ou « confirmer ses informations bancaires ». Une fois que la victime avait révélé son mot de passe, le pirate pouvait accéder au compte et l’utiliser à des fins malveillantes.

Si vous avez un doute, il faut :

• analyser l’adresse du site internet
  Il faut différencier “http://dopaweb.com.site-douteux.com/” de “http://www.dopaweb.com”.
• se méfier de la barre d’état qui indique l’adresse URL du site lorsque l’on pointe sa souris sur un lien. Il est possible en javascript de modifier le contenu de cette dernière (selon les navigateurs).

• vérifier que la connexion est cryptée
  Votre navigateur doit afficher un petit cadenas et l’URL du site doit commence par “https://” (et non “http://”).`

9. Ne pas avoir ses logiciels de sécurité à jour

Même si votre anti-virus et/ou firewall ne vous permettront pas d’être en sécurité à 100%, ils ont tout de même le mérite de limiter la casse. Vous serez moins vulnérables aux techniques connues. Il est donc recommandé de les mettre à jour quotidiennement (la plupart propose des mises à jour automatique pour vous simplifier la tache).

10. Ne pas se tenir au courant des techniques actuelles

Plus facile à dire qu’à faire, surtout si vous n’êtes pas un mordu de l’actualité informatique. Il convient tout de même de rester au courant de ce qu’il se passe.

BitDefender annonce avoir découvert une nouvelle méthode de vol de mots de passe. Une application de détournement de mot de passe, masquée en plugin pour Firefox, filtre les informations de connexion des utilisateurs (login et mot de passe).

Le code malveillant s’exécute à chaque fois que Firefox est lancé. “Le malware filtre les données envoyées par l’utilisateurs vers plus de 100 sites internet bancaires” tels que paypal.com, e-gold.com ou encore bankofmamerica.com.

Bien que Firefox soit considéré comme un navigateur sà»r, il faut toujours rester sur ses gardes :

1. Gardez votre antivirus à jour
2. Vérifiez que vous possédez la dernière version de vos logiciels

Source : Zataz

En plus d’inscrire les trois chiffres présents au dos des cartes (cryptogramme) les internautes doivent maintenant préciser leur date de naissance sur certains sites marchands pour valider le paiement. Cette nouveauté est en place depuis le 1er octobre sur les sites affiliés à la norme de paiement en ligne 3D Secure. Ces sites sont reconnaissables aux logos “Verified by VISA” ou “MasterCard SecureCode”.

Au niveau juridique, le fait d’inscrire sa date de naissance constitue un transfert de responsabilité entre acheteur, vendeur et la banque. Auparavant, en cas de fraude, la banque était tenue de rembourser le propriétaire de la carte de crédit. Elle pouvait ensuite se retourner contre la banque du commerçant puis vers le commerçant lui-même. Désormais, seule la banque du porteur de la carte est responsable financièrement.

L’internaute aura droit à 3 tentatives. En cas d’échec, sa carte ne pourra plus servir à réaliser des achats sur les sites affiliés.

D’autres moyens sont à l’étude pour limiter la fraude sur les sites e-commerces. Une question secrète pourrait être prochainement demandée à tous les acheteurs en ligne afin de valider leur paiement.