On installe des verrous haute sécurité sur la porte
d'entrée, on vérifie les fenêtres du rez-de-chaussée avant de partir en
week-end et on se méfie instinctivement d'un inconnu qui rôde près du garage.
Puis, on s'affale sur le canapé et on balance l'intégralité de nos identifiants
à une application de télévision connectée totalement obscure - développée par
on ne sait qui - juste pour regarder un match de foot en streaming.
La dissonance cognitive est fascinante. L'internet moderne
nous a habitués à faire passer le confort immédiat avant l'auto-préservation
élémentaire, principalement parce que les menaces restent invisibles jusqu'au
jour où votre compte bancaire se vide sans crier gare.
La confiance aveugle dans des serveurs oubliés
Le cabinet de kiné où vous avez pris
deux rendez-vous en 2019 ou la petite boutique en ligne où vous avez acheté un
paillasson personnalisé n'ont probablement pas mis à jour la sécurité de leur base
de données depuis l'élection présidentielle précédente. On traite ces profils
numériques comme des éléments jetables, sans importance.
Pour tout vous dire, on se retrouve rapidement avec une
traînée de miettes personnelles éparpillées sur des dizaines de serveurs
vulnérables qui tournent sans aucune surveillance humaine.
Quand un outil automatisé finit par pirater un site
e-commerce de province spécialisé dans les disques vinyles rétro - un fichier
que l'administrateur n'a pas ouvert depuis trois ans -, les attaquants se
fichent éperdument de vos goûts musicaux. Ils cherchent la structure de vos
habitudes. Si l'on repense à la manière dont les fuites de données
fonctionnaient autrefois, une entreprise perdait ses dossiers et l'histoire
s'arrêtait là, mais aujourd'hui ces fichiers sont compilés dans d'immenses
catalogues du dark web que les criminels trient
instantanément pour cibler des gens ordinaires.
Le piège psychologique de la routine "perso"
On s'imagine que nos mots de passe maison sont introuvables
parce qu'ils mélangent le nom d'un ancien chien, une date de naissance, un club
de sport et l'année d'obtention du permis de conduire. On a l'impression
d'avoir créé un code hautement confidentiel. Soyons clairs, un bête logiciel de
force brute mettra environ douze secondes à aligner ces éléments parce que
l'esprit humain est d'une prévisibilité désolante lorsqu'il est fatigué.
Nous choisissons systématiquement des schémas de touches
faciles à taper sur l'écran en verre d'un téléphone, souvent en marchant dans
la rue ou en tenant un sac de courses. À moins d'utiliser un password
manager pour forcer le système à générer une suite de caractères
totalement anarchique et incompréhensible, vous donnez les clés de votre vie
administrative au premier venu. Réutiliser une structure identique pour vos
cartes de fidélité, votre fournisseur de gaz, votre boîte mail principale et
votre accès de télétravail crée un effet domino immédiat.
Dès qu'un forum de quartier dédié aux conseils de jardinage
est compromis, les scripts balancent la même combinaison sur les portails des
grandes banques de l'hexagone.
Le SMS de validation comme un bouclier magique
L'activation de la double authentification par SMS a
créé un sentiment d'invincibilité généralisé. C'est devenu l'excuse parfaite
pour baisser la garde. On se surprend à cliquer sur des liens bizarres reçus
par message ou à se connecter aux réseaux Wi-Fi ouverts des cafés sans
réfléchir, persuadés que ce fameux code à six chiffres va bloquer les intrus.
Après tout, les attaques de type "SIM-swapping" ou les pages de
redirection éphémères permettent désormais de contourner ces barrières sans
avoir besoin de compétences d'ingénieur. Le système pirate intercepte le code
de validation en temps réel au moment où vous le tapez, le transmet au véritable
site et vous déconnecte de votre session avant même que vous ayez pu reposer
votre tasse de café.
La négligence se nourrit de cette foi aveugle dans un seul
outil technique, nous poussant à abandonner le bon sens alors que
l'environnement numérique devient chaque jour un peu plus hostile.
