La connexion via les applications: des enjeux de sécurité

C’est facile de devenir paranoïaque lorsqu’on commence à penser à toutes les données qu’on dissémine tous les jours sur le web, que ce soit en se créant un compte en utilisant notre identifiant Facebook, en téléchargeant une nouvelle application à la mode ou en se connectant à notre compte bancaire. Outre les considérations face à la vie privée, ces données pourraient nous exposer à des pirates informatiques avec des intentions malveillantes. Jean-François Brouillette, chef de pratique en réponse aux cyberincidents à la Banque Nationale, l’explique le plus simplement possible: «De façon générale, les applications peuvent être des portes d’entrée pour un attaquant qui va essayer d’exploiter les bogues de l’application, si elle est mal programmée. On voit souvent des vulnérabilités qui permettent à un attaquant d’exploiter l’application pour prendre le contrôle de l’ordinateur, voler des informations, installer des logiciels, ou même enregistrer ce que la personne va taper.»

La balle est dans le camp des développeurs
C’est la responsabilité des développeurs de s’assurer que les applications qu’ils créent soient sécuritaires. Donc, que peuvent faire les entreprises qui développent des applications? Premièrement, sans nécessairement avoir un expert de la cybersécurité dans son équipe, l’entreprise peut au moins s’assurer d’avoir des développeurs qui sont sensibles à la cybersécurité et qui ont les bons réflexes lorsqu’ils codent. Notre sécurité est souvent entièrement entre les mains des développeurs, nous dit Jean-François: «Les développeurs d’applications veulent que ça fonctionne et n’auront pas le réflexe de rendre ça sécuritaire et de se demander si ce qu’ils sont en train de coder va créer une porte pour un attaquant par la suite. Ça, ce sont des choses auxquelles il faut penser.» Suivre les bonnes pratiques lorsqu’on développe, ça inclut de chiffrer les données, d’installer l’identification multifacteurs, installer des pare-feux, et ainsi de suite. Il existe également de nombreux outils pour tester certains aspects du code et vérifier qu’il est sécuritaire, et des certifications peuvent être obtenues pour attester de la sécurité de son produit. Il est donc de mise de faire nos recherches en tant qu’utilisateurs et de vérifier le site web du développeur pour savoir quelles mesures sont en place pour protéger nos données.

L’identification multifacteurs, une bonne protection
L’identification multifacteurs peut prendre plusieurs formes telles que des questions de sécurité ou l’envoi de codes par courriel ou message texte. Ça rend la connexion plus complexe et plus longue, et c’est exactement là où l’aspect sécuritaire entre en jeu: même si quelqu’un a le bon mot de passe, il n’aura pas accès à la notification qui permet de débloquer l’accès. Selon Jean-François, c’est une excellente mesure à avoir, et définitivement une des solutions les plus faciles à mettre en place. Limiter le nombre de tentatives de connexion est également une bonne façon de garder les pirates informatiques à distance.

Pour ce qui est des identifiants uniques, c’est-à-dire la connexion à une application au moyen de son compte Facebook ou Google, ce n’est pas recommandé, surtout au niveau du partage de données et de la protection de votre vie privée (les détails sont généralement inclus dans les conditions). Cependant, Jean-François n’estime pas que ce genre de connexion soit dangereuse en tant que telle: «Un jeton est créé pour te connecter lorsque tu utilises Facebook par exemple, donc si Facebook a un problème un jour, tu pourrais avoir de la difficulté à récupérer l’accès à tes comptes sur ces applications-là, et même perdre l’accès à ces comptes. Si quelqu’un réussissait à avoir accès aux jetons, il pourrait usurper ton compte, mais Facebook suit des standards et protège les données, donc c’est quand même sécuritaire; ce qu’ils font avec les données au niveau de la publicité, c’est plutôt un enjeu de vie privée.»

Se protéger en tant qu’utilisateur
Si vous ne savez pas trop par où commencer pour vous protéger, à part devenir un ermite de la techno et supprimer tous vos comptes, n’ayez crainte: il y a des façons d’assurer vos arrières en tant qu’utilisateur en suivant les mises en garde d’usage. La principale bonne pratique est d’utiliser des mots de passe solides et complexes pour vous protéger des attaques, puisque les pirates auront de la difficulté à les deviner, et les mettre à jour régulièrement. De plus, assurez-vous de ne pas toujours utiliser le même mot de passe sur tous vos comptes ni de le partager avec n’importe qui: même si celui-ci est complexe, si quelqu’un met la main dessus, il pourrait être en mesure d’accéder à vos comptes. De plus, il est important de garder ses applications à jour, comme l’explique Jean-François: «Ce ne sont pas uniquement les applications moins connues qui ont des failles; Chrome, par exemple, a des dizaines de vulnérabilités, sinon plus, qui sont corrigées chaque mois.» Si une application n’est plus soutenue ou mise à jour, c’est le temps d’en trouver une autre, car vous pourriez être vulnérable.