Seconde journée, ce jeudi 29 février, du premier forum polynésien de la cybersécurité, qui se déroule à la chambre de commerce, d’industrie, de services et des métiers (CCISM) du 28 février au 1er mars. Un deuxième jour auquel le grand public est convié et consacré à “l’hygiène numérique et aux bonnes pratiques cyber”. Pour en discuter, La Dépêche de Tahiti a rencontré Lucas Troncy, ingénieur en cybersécurité âgé de 26 ans, pour la société Axians.
Le cœur de métier de Lucas, premier intervenant dans l’amphithéâtre de la CCISM en cette matinée du 29 février, c’est “l’offensif”. Son travail au quotidien: “attaquer” les entreprises de manière légale, dans un cadre réglementé et dans un périmètre “ultra défini”, comme il le souligne, afin de tester leur sécurité dans tout, ou partie, de leur système d’information afin de détecter des vulnérabilités et de les corriger si tel est le cas. Objectif de la mission, vous l’aurez compris, prévenir de vrais hackings au sein des sociétés.
Interrogé de manière plus globale sur les pratiques des utilisateurs “lambda” des différents outils informatiques mis de nos jours à notre disposition, l’ingénieur reconnait volontiers que de mauvaises pratiques perdurent, qui peuvent avoir des conséquences sur le matériel mais également sur le portefeuille de celui ou celle qui serait un peu trop “souple” sur sa sécurité informatique.
Enregistrer ses mots de passe : une mauvaise idée
Parmi les habitudes fortement déconseillées par le professionnel, mais qui peuvent pourtant paraître très utiles, l’enregistrement de ses mots de passes directement sur les différents sites/navigateurs utilisés ou encore conserver tous ses mots de passe sur un document accessible dans les dossiers. “Des malwares sont spécialisés là dedans. Ils vont directement aller rechercher les informations”, explique Lucas, à propos du risque d’enregistrer ses mots de passe.
Concernant la conservation de ses mots de passe sur un dossier classique dans son ordinateur, l’ingénieur précise que le risque de vols de données est encore plus grand car “il n’y a plus de chiffrement comme un navigateur peut offrir.” Il préconise dans ce cas d’utiliser un gestionnaire de mots de passe qui permet d’être “cryptographiquement solide”. Bien évidemment, il invite aussi les usagers à complexifier leurs mots de passe et non pas à se contenter de ne changer qu’une lettre ou un chiffre.
Autres pratiques courantes et pouvant être préjudiciables pour l’utilisateur: aller sur un site internet sans avoir vérifier que l’URL est le lien correct, cliquer sur un mauvais lien sans en vérifier l’origine. Tout comme faire confiance à courriel dont l’adresse peut paraitre familière mais mais qui est pourtant différente d’une lettre. Ou encore télécharger un document ou une application qui s’avère renfermer un virus. Sur tous ces points, Lucas appelle à la vigilance et précise que tout type de système informatique est vulnérable.
Les téléphones portables pas à l’abri
Questionné sur l’existence d’un référencement des types d’attaques informatiques subies dans le Pays par les particuliers, le professionnel de la cybersécurité informe que ce recueil de données n’existe pas. Seul un référencement des plaintes auprès des forces de l’ordre pourrait donner une idée. Mais il explique que beaucoup de personnes hackées ont parfois honte de se faire connaitre.
Les téléphones portables ne sont pas à l’abri du danger cyber. Le téléchargement, une fois encore, d’une mauvaise application ou un clic sur un lien malveillant peuvent être à l’origine de mauvaises surprises. Lucas explique d’ailleurs que, même éteint, votre téléphone peut être hacké. Dans ce cas, il précise qu’il s’agit souvent d’actions commanditées par des gouvernements, tant ce type d’action coûte cher. Cela veut aussi dire que vous, vos communications et vos navigations intéressent au plus haut point certaines officines liées aux services de renseignement. Un simple redémarrage de votre téléphone peut stopper, dans cette situation, l’attaque.
En plus de ces différentes préconisations, Lucas invite également tous les utilisateurs à se renseigner, pour de bonnes pratiques informatiques, sur le site de l’agence nationale de la sécurité des systèmes d’informations (https://cyber.gouv.fr/), agence gouvernementale qui offre des guides et tutoriels pour les particuliers.
***
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de cybersécurité. Placée sous l’autorité du Premier ministre et rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN) , elle bénéficie d’un positionnement lui permettant de déployer une politique globale de cybersécurité et d’en assurer la coordination à l’échelle interministérielle : https://cyber.gouv.fr/
