Fuites de données à l'ARC: comment vous protéger

L'Agence du revenu du Canada (ARC) a rapidement bloqué l'accès à son portail et ouvert une enquête avec l’aide de la Gendarmerie royale du Canada (GRC) après une fuite de donnée qui a touché 9000 comptes de Canadiens inscrits à son site. Les victimes recevront une lettre de Revenu Canada par la poste les avisant des mesures à suivre. Pour les autres, quelques mesures peuvent réduire les impacts de telles failles de sécurité.

Des identifiants sur mesure

La méthode utilisée pour déjouer les mesures de sécurité du site gouvernemental est relativement simple: les malfaiteurs ont envoyé en lot des identifiants et des mots de passe provenant d'autres fuites de données préalables. Les gens qui utilisent la même combinaison de nom d'usager et de mot de passe partout où ils s'inscrivent sont ciblés.

Un moyen de contourner ce type d'attaques est d'utiliser des identifiants différents pour chacun de ses comptes en ligne. Cette pratique est facilement applicable en recourant à un gestionnaire de mots de passe, comme les applications 1Password ou LastPass. Les propriétaires d'un appareil Apple peuvent utiliser le générateur de mots de passe intégré à leur système d'exploitation.

Activer l'identification à deux facteurs

Avec raison, des experts et d'anciens employés du gouvernement spécialisés en cybersécurité ont appelé le gouvernement à moderniser ses outils d'identification en ligne. De nos jours, la plupart des services web proposent une identification à deux facteurs qui réduit de façon importante les risques de vol d'identité.

L'identification à deux facteurs envoie un message texte à son sans-fil ou à sa boîte courriel, qu'on retourne ensuite au site web. Une application d'authentification comme celles de Google ou Microsoft sont plus sûres encore, puisqu'elles ne peuvent être détournées.

Éviter les jeux-questionnaires en ligne

Ces petits jeux-questionnaires que des gens complètent puis partagent sur les réseaux sociaux peuvent sembler bien inoffensifs… jusqu'à ce qu'on réalise qu'ils posent des questions étonnamment similaires à celles qu'on vous demandera si vous tentez de récupérer le mot de passe de vos comptes en ligne.

Quelqu'un qui sait quelle a été la première voiture que vous avez possédée, qui connaît le nom de jeune fille de votre mère, ou qui peut nommer la ville où vous êtes né(e)s a de bonnes chances de pouvoir accéder à votre compte bancaire, même sans votre mot de passe…

>> À lire aussi: notre grand dossier sur la protection des données personnelles

Privilégier des services chiffrés de bout en bout

Plus tôt ce printemps, on a découvert que le service de vidéoconférence en ligne Zoom ne chiffrait pas ses communications d'un bout à l'autre, contrairement à ce qui était promis. Le service américain a rapidement corrigé le tir, car il aurait été possible, pour des gens mal intentionnés, d'avoir accès à certains appels vidéo. Des gens aux intentions malicieuses pouvaient même s'inviter dans des conférences un peu au hasard en entrant des codes, puisque Zoom ne protégeait pas l'accès par défaut.

Que vous cherchiez à faire des appels vidéo, ou tout autre service en ligne, il existe généralement plus d'un fournisseur. Assurez-vous d'en choisir un qui chiffre convenablement ses communications. Sinon, rien ne dit que les données qui pourraient en être tirées par des fraudeurs ne pourront pas servir à accéder à votre compte ailleurs sur Internet…