Démarrer sur le web Nouveautés et mises à jour
Dix astuces pour renforcer votre sécurité en ligne
Internet nous permet de communiquer avec des personnes dans le monde entier, de rencontrer une communauté spécifique d’internautes partageant les mêmes idées ou la même passion qui serait, sinon, éparpillé aux quatre coins du monde, ou encore de toucher des clients qui ne peuvent pas, ou ne veulent pas faire leurs achats en personne.
La présence en ligne comporte, certes, des avantages, mais elle présente également certains risques. Il faut être attentif à la sécurité de vos données personnelles, de votre site web et de vos noms de domaine.
Voici nos 10 recommandations pour protéger votre site web, et vous même.
1. Utilisez des mots de passe uniques
Créer un mot de passe différent pour chaque compte est d’une importance capitale. En d’autres termes, votre mot de passe bancaire doit être différent de celui de votre boîte mail, qui doit être différent de votre mot de passe du bureau d’enregistrement de domaine, qui doit être différent de celui pour vous identifier à votre site web.
Chacun de ces mots de passe doit être fort et sécurisé, nous vous recommandons donc de garder vos mots de passe dans un gestionnaire de mots de passe.
Pourquoi tant de mots de passe différents ?
L’authentification par mot de passe n’est, en effet, pas le système idéal. Toutefois, comme chaque service nécessitant un mot de passe présente un risque d’être piraté, il est nécessaire d’avoir un mot de passe différent pour chacun d’entre eux. Ainsi, si un mot de passe fuit sur le dark net, les hackers n’auront pas accès à tous vos comptes en ligne.
2. Utilisez une authentification à plusieurs facteurs
L’utilisation d’une authentification à plusieurs facteurs permet d’ajouter une sécurité supplémentaire à votre identification, au-delà du mot de passe.
Malgré son nom un peu abstrait, l’authentification à plusieurs facteurs est assez simple. Il s’agit en fait de la version numérique de la demande de deux pièces d’identité par votre banque. Il existe plusieurs types d’authentification à plusieurs facteurs :
Mot de passe unique à durée limitée
Cette méthode d’authentification à plusieurs facteurs consiste à scanner un QR code pour activer le compte, un algorithme dans une application spécifique génère ensuite un mot de passe à 6 chiffres qui n’est valable seulement pendant 30 secondes.
Lorsque vous vous connectez à votre compte, vous tapez votre nom d’utilisateur et votre mot de passe comme d’habitude, puis vous ouvrez l’application sur votre téléphone et saisissez le code à six chiffres.
Les hackers n’auront pas accès à l’algorithme utilisé et le code change toutes les 30 secondes, il ne sera donc valide que pour une courte durée.
Clé de sécurité
La clé de sécurité est une option moins complexe, plus sûre, mais finalement plus encombrante, qui consiste en une petite carte qui se branche sur votre port USB.
Les clés de sécurité ne nécessitent pas d’application particulière ni de saisie d’un mot de passe supplémentaire. Il vous suffit d’insérer la clé dans votre port USB après avoir saisi votre nom d’utilisateur et votre mot de passe puis d’appuyer sur le bouton de la clé.
L’inconvénient de cette méthode est le fait que vous devez avoir la clé avec vous, donc si vous l’oubliez ou la perdez, vous ne pourrez pas vous connecter.
Biométrie
Le mot peut sembler compliqué, mais cette forme d’authentification à plusieurs facteurs est assez simple, et il s’agit probablement de la plus pratique. L’authentification biométrique est probablement déjà activée sur votre smartphone, sous la forme d’une reconnaissance d’empreintes digitales ou d’une reconnaissance faciale utilisant la caméra de votre téléphone pour le déverrouiller en fonction de votre empreinte digitale ou de votre visage.
De plus en plus d’ordinateurs sont livrés avec la reconnaissance d’empreinte digitale dans les claviers, cette forme d’authentification devient alors beaucoup plus accessible.
Pour se connecter, il suffit de saisir son nom d’utilisateur et son mot de passe, puis d’utiliser un dispositif d’authentification biométrique, intégré à votre téléphone ou à votre ordinateur, pour finaliser la connexion.
3. Attention au phishing
Les emails de phishing sont des emails qui semblent provenir d’une personne de confiance, comme des entreprises et institutions, votre banque, le bureau d’enregistrement de votre nom de domaine ou la poste, mais qui vous conduisent en fait vers de fausses pages web où l’on vous demande de donner vos informations personnelles (notamment vos mots de passe).
Comme l’envoi d’un email ne coûte quasiment rien et l’usurpation de l’adresse mail d’une personne est relativement simple, les attaques de phishing restent une menace majeure pour tous les internautes.
Voici les meilleurs moyens de lutter contre le phishing :
- Ne pas paniquer. Le phishing fonctionne quant les internautes baissent leur garde car ils voient un objet de mail effrayant. Prendre une minute pour réfléchir à ce qu’un email vous demande de faire et examiner le lien peut vous empêcher d’être victime d’une attaque de phishing. Même quand il s’agit d’un problème urgent, une minute ne va pas tout changer.
- Ne pas cliquer sur les liens. Si un mail vous demande d’effectuer un paiement ou de saisir des données personnelles, rendez-vous sur site web en question par internet sans cliquer sur le lien du mail. Par exemple, vous pouvez vérifier si votre domaine chez Gandi doit être renouvelé en vous connectant à votre tableau de bord Gandi à l’adresse gandi.net sans cliquer sur le lien du mail que vous venez de recevoir.
- Signaler le phishing. Lorsque vous voyez un email de phishing, signalez-le. Ce signalement aide à stopper la campagne de phishing en cours, mais il permet également aux fournisseurs de messagerie de signaler ces emails de phishings au futurs destinataires pour les avertir.
4. Utilisez des adresses mail différentes pour chaque identification
L’adresse mail associée à une connexion donnée, possède de nombreux usages : elle est utilisée pour réinitialiser les mots de passe, pour envoyer des newsletters et des mails de marketing et, pour certains comptes, comme nom d’utilisateur.
En d’autres termes, si une identification utilisant cette adresse mail est compromise, tous les autres comptes utilisant cette adresse peuvent également être menacés.
Dans le contexte de la gestion d’un site web, si vous utilisez la même adresse mail pour enregistrer votre nom de domaine et pour vous connecter à votre CMS, une menace sur votre CMS pourrait entraîner une menace de votre registraire, ce qui limiterait votre capacité à atténuer le problème.
Par ailleurs, même si vous n’avez pas affaire à des comptes menacés, associer votre connexion CMS à une adresse mail personnalisée avec le @ votre nom de domaine peut être judicieux pour votre image de marque et de contact. Mais il faut éviter pour votre compte gérant ce même nom de domaine. Si quelque chose arrive à votre nom de domaine, vous ne pourrez pas accéder au compte de votre registraire de domaine pour résoudre le problème, car votre adresse mail dépend directement du bon fonctionnement de votre nom de domaine.
Enfin, il est préférable d’utiliser des adresses mail qui ne sont pas « évidentes », comme « admin@ » ou « contact@ ». Ces adresses sont relativement faciles à deviner, ce qui non seulement donne un indice aux potentiels hackers qui tentent de pirater votre compte, mais peut également permettre de vous envoyer des emails de phishing plus crédibles, puisque les hackers essaieront d’envoyer des emails à des adresses courantes comme contact@ et même à toute adresse mail figurant sur votre site web.
5. Mettez à jour régulièrement les logiciels
La sécurité numérique est une sorte de course aux armements virtuels entre les développeurs de logiciels, d’une part, et les cybercriminels et autres entités qui tentent d’exploiter les bugs et les faiblesses des logiciels en cours de développement, d’autre part.
Les développeurs de logiciels ne se contentent donc pas de créer en permanence de nouvelles fonctionnalités et d’améliorer les performances des logiciels sur lesquels ils travaillent, mais ils publient constamment de nouvelles versions de leurs logiciels, corrigent les bus et règlent les problèmes de sécurité.
Cela s’applique aux logiciels que vous utilisez pour accéder à l’internet – notamment les navigateurs internet comme Firefox, Safari et Chrome, les clients de messagerie comme Thunderbird, Apple Mail et Outlook, ainsi que pratiquement toutes les autres applications de votre ordinateur, smartphone ou tablette – mais aussi aux logiciels que vous utilisez pour gérer votre site web.
Il est notamment important de maintenir votre logiciel CMS à jour. Cela inclut le CMS lui-même ainsi que tous les plugins ou modules complémentaires que vous utilisez. Par exemple, si vous utilisez WordPress, vous devez vous assurer que votre version de WordPress est à jour, mais aussi tous les plugins WordPress que vous utilisez pour votre site.
Les développeurs de ce logiciel vous alertent généralement lorsqu’ils publient une nouvelle version, et il est important d’effectuer une mise à niveau lorsque vous recevez ce type de notification. Mais il convient également de vérifier régulièrement si vous utilisez la dernière version du logiciel.
6. Faites des sauvegardes régulières
Il est facile de remettre à plus tard la planification du pire, jusqu’à ce que celui-ci se produise réellement. Qu’il s’agisse d’une attaque délibérée, d’un « coup du destin », d’un renouvellement raté ou d’une erreur dans la gestion de votre site web, lorsque les choses tournent mal, il est essentiel de pouvoir restaurer à partir d’une sauvegarde.
Que faut-il sauvegarder ?
Voici quelques types de sauvegarde à effectuer :
- Faire une sauvegarde de votre ordinateur, de votre smartphone et d’autres appareils. Il est toujours bon d’effectuer des sauvegardes régulières de votre ordinateur et d’autres appareils tels que votre smartphone afin que les applications critiques dont vous avez besoin pour gérer votre site Web ou votre nom de domaine soient accessibles même si quelque chose de grave se produit. Cela ne concerne pas seulement votre navigateur, mais s’applique particulièrement si vous utilisez un gestionnaire de mots de passe ou une authentification multifactorielle qui peut être réinitialisée à l’aide de codes de sauvegarde. La perte de ces éléments, en plus de votre ordinateur, peut aggraver une situation déjà problématique. Sauvegarder votre ordinateur et d’autres appareils sur le cloud est facile lorsque vous avez installé une instance Nextcloud.
- Sauvegarder votre site web.
Faire des sauvegardes régulières n’est pas seulement important pour votre ordinateur, ce sage conseil s’applique également à votre site web. Vous pouvez avoir besoin de restaurer votre site web à partir d’une sauvegarde pour de nombreuses raisons, surtout si votre site web est compromis. Il est essentiel d’avoir une sauvegarde de votre site web avant le hack, pour le restaurer et être de nouveau opérationnel.
Pour en savoir plus sur la sauvegarde de votre site, consultez le site de Gandi.
- Sauvegarder les paramètres de votre nom de domaine. Si quelque chose de terrible arrive à votre nom de domaine, notamment si vous ratez un renouvellement et devez le réenregistrer, s’il est transféré par un voleur de nom de domaine, ou si vous faites simplement une erreur en modifiant vos DNS, vous pouvez remettre votre nom de domaine en état de fonctionner en le restaurant à partir de votre sauvegarde.
Comment sauvegarder vos données
En général, vos sauvegardes doivent suivre la règle du 3-2-1 :
3 sauvegardes
2 supports
1 hors site
Cela signifie qu’il faut faire trois copies, sur deux supports différents, dans deux endroits physiques différents.
Pour vous aider à vous en souvenir, chaque année, la Journée mondiale de la sauvegarde a lieu le 21 mars.
7. Utiliser HTTPS ou SSL/TLS
SSL, qui signifie « secure socket layer » (« Couche de sockets sécurisée » en français), également connu sous le nom de TLS (pour « transport layer security ») (« Sécurité de la couche de transport » en FR), est une méthode spécifique de cryptage des données utilisée dans HTTPS (« Hypertext Transfer Protocol Secure ») (« Protocole de transfert hypertexte » en FR), que vous avez peut-être déjà vu sur des adresses web commençant par https://.
Cela fonctionne en installant un certificat SSL/TLS sur votre site web. Un certificat SSL/TLS est un fichier généré à l’aide de la cryptographie à clé publique. Il s’agit d’une méthode de cryptage (ou d’encodage) des données que seuls l’expéditeur et le destinataire prévu de ces données sont en mesure de décrypter ou de décoder. Lorsque vous utilisez le protocole HTTPS sur votre site web, un « tunnel » virtuel se forme entre le navigateur et le site web. Si une tierce personne accède aux données transmises entre un site web et le navigateur d’un utilisateur final, cette personne ne verra que des données codées et cryptées, elle n’a aucun moyen de décrypter.
C’est pourquoi un certificat SSL/TLS ou HTTPS permet d’envoyer des données sensibles telles que les numéros de carte de crédit, les numéros d’identification, les noms d’utilisateur et les mots de passe sur le web.
Certains types de certificats SSL/TLS vont même jusqu’à garantir la sécurité des transactions. Pour obtenir ce type de certificat SSL/TLS, vous devez passer par un processus de validation étendu.
Lorsqu’un certificat SSL/TLS valide est installé sur une page web utilisant le protocole HTTPS, une icône de cadenas fermé apparaît généralement à côté de l’adresse dans votre navigateur (URL). Votre certificat SSL/TLS est donc un élément essentiel pour établir la confiance entre vous et les utilisateurs de votre site web.
Quand utiliser SSL/TLS
SSL/TLS a été initialement présenté comme un moyen de protéger les données sensibles suivantes :
- Nom d’utilisateur et mot de passe
- Informations financières (telles que les numéros de carte de crédit)
- Informations d’identification personnelle
Pour ces utilisations, SSL/TLS est absolument essentiel.
Mais en plus de cela, il est maintenant recommandé que toute navigation sur internet soit cryptée avec SSL/TLS. Les internautes sont ainsi assurés que rien de ce qui les concerne ne fuit vers des utilisateurs malveillants. Même les informations relatives à l’appareil que vous utilisez et à l’endroit où vous vous trouvez peuvent être considérées comme des informations sensibles, alors pensez à assurez la sécurité de votre site web et de ses utilisateurs en utilisant un certificat SSL/TLS.
Pour en savoir plus sur les certificats SSL/TLS.
8. Évitez d’utiliser les réglages par défaut
La plupart des CMS, comme WordPress et Joomla, utilisent des paramètres par défaut pour le login ou le répertoire d’administration. Dans le cas de WordPress, l’URL de connexion par défaut est exemple.com/wp-admin/. Un plugin WordPress (sécurisé et mis régulièrement à jour) vous permettra de la personnaliser.
Vous devez également éviter d’utiliser des noms d’utilisateur trop courants, tels que « admin », pour votre site web, même s’ils ne sont pas attribués par défaut.
9. Désactivez les fonctionnalités que vous n’utilisez pas et vérifiez vos plugins
Les fonctionnalités permettant aux utilisateurs d’interagir avec votre site web et que vous n’utilisez pas, peuvent constituer une menace pour la sécurité de votre site web. Tout formulaire que les utilisateurs peuvent utiliser pour soumettre des données à votre site web, comme les formulaires de commentaires, d’inscription et de contact, peut potentiellement être utilisé pour compromettre la sécurité de votre site web.
Si vous n’avez pas besoin de ces fonctions ou que vous ne les utilisez pas régulièrement, assurez-vous qu’elles sont désactivées. Par exemple, si les commentaires sont activés sur votre CMS mais que votre section de commentaires n’est pas vraiment modérée, désactivez les pour éviter d’éventuelles attaques utilisant les commentaires pour compromettre la sécurité de votre site ou qui pourraient conduire certains utilisateurs de votre site web à cliquer sur des liens vers des sites web frauduleux ou dangereux.
De même, vérifiez régulièrement les plugins que vous avez installés sur votre CMS, surtout si vous utilisez un CMS comme WordPress. Les anciens plugins qui ne sont plus mis à jour constituent une menace pour la sécurité. Les plugins, de manière générale, peuvent être une source de problèmes de sécurité, même lorsqu’ils sont mis à jour. Il est donc important de désinstaller les plugins que vous n’utilisez pas régulièrement.
10. Restez vigilant
La première chose que vous pouvez faire pour assurer votre sécurité en ligne est de rester vigilant. La prudence est la clé pour détecter les tentatives de phishing et s’assurer que votre logiciel est à jour.
Votre vigilance vous permet de déceler les problèmes lorsque vous naviguez vers un site web, lorsque vous gérez vos connexions pour votre nom de domaine, votre hébergement et votre CMS, mais également lorsque vous contrôlez votre site web et remarquez quelque chose d’inhabituel.
Alors, soyez prudent et restez vigilant !
Tagged in 2FAsslWordpress Partager l'article