Sécurité : comment faire de votre mail une forteresse imprenable

En faisant de votre e-mail votre identifiant pour l'essentiel des services en ligne, votre vie numérique a fait de votre compte la pierre angulaire de votre sécurité et de celles de vos données. Corollaire évident : quiconque arriverait à se frayer un accès à votre compte mail peut l'utiliser comme sésame vers tous les services connectés, tous ceux où vous utilisez votre adresse comme identifiant : commerce en ligne, réseaux sociaux, applications professionnelles, certaines banques aussi, partout où il suffit de cliquer sur "J'ai oublié mon mot de passe" pour recevoir par mail un lien invitant à en entrer un nouveau.

Le problème, c'est que dans l'ensemble, nos mots de passe sont mauvais. Soit parce qu'ils sont trop simples : du prénom du dernier enfant à la marque de sa voiture, les sésames un peu trop transparents sont légion, sans parler des comptes sécurisés par "motdepasse" ou "12345678". Si vous êtes dans l'un de ces cas, allez changer de mot de passe tout de suite, vous reprendrez la lecture de cet article quand vous en aurez configuré un qu'un enfant de six ans ne saurait deviner.

L'autre mauvais mot de passe, c'est celui qui n'est pas immédiatement devinable, qui ne fait pas partie de la liste des mots de passe les plus courants, mais que vous aimez tant que vous l'avez utilisé sur plusieurs sites, même importants. Une stratégie qui met tous vos œufs dans le même panier : si l'un des sites est piraté, si votre mot de passe est dévoilé, il sera simple comme tout de l'essayer sur d'autres sites, pour constater votre paresse intellectuelle, et accéder à vos comptes les plus précieux, à commencer par le mail.

Ces constats n'ont rien de nouveau. Pour mieux protéger vos comptes, les grandes plateformes utilisent un moyen né dans les entreprises, celui de la double authentification. Pour se connecter, en plus du mot de passe, il faut un second sésame, un code à quelques chiffres, à recevoir sur son mobile, où disponible dans une application, un code qui changerait chaque minute, et résoudrait la fragilité du seul mot de passe. Le procédé est courant, fonctionne pour Facebook, pour les services de Google, de Microsoft et bien d'autres. Il est contraignant, mais rassurant.

Pour ceux qui cherchent un moyen d'authentification plus pratique, ou qui ont des raisons sérieuses de craindre pour la sécurité de leurs données. Google vient de sortir Titan, un ensemble de deux clés : la première est une clé USB, à connecter à son ordinateur à la première utilisation. Elle sait générer des mots de passe de double authentification à la chaîne, toujours différents. C'est une clé "Fido", un standard de sécurité depuis longtemps utilisé en entreprise : sans clé physique, l'accès sera refusé. Ici le fonctionnement est différent, cette première clé ne servira qu'à configurer le système la première fois. Il faudra alors la mettre en lieu sûr, elle servira de recours en cas de perte des identifiants.

La seconde clé fait la même chose que la première, mais elle peut être indifféremment connectée à un ordinateur grâce à un câble USB, ou rester connectée à votre smartphone grâce au bluetooth, elle peut aussi servir de sésame sans contact grâce à la puce NFC qu'elle héberge. De quoi valider votre identité tant sur l'ordinateur du bureau que sur un smartphone ou une tablette, sans avoir besoin d'aller chercher un mot de passe de double authentification à chaque connexion.

Déjà disponible aux États-Unis depuis quelques mois, Google Titan peut désormais être commandé en France, comptez 55 euros pour le kit complet. Le dispositif peut être utilisé sur les centaines de services compatibles avec des clés Fido. Pour ses propres services, Google propose gratuitement aux possesseurs de Titan un Programme de protection avancée optionnel, qui limitera l'accès d'applications extérieures à vos données stockées chez Google, et qui empêchera surtout quiconque de prendre le contrôle de votre compte Google, en rajoutant des étapes supplémentaires à toute demande de nouveau mot de passe. Un programme dont Google dit qu'il vise principalement les militants politiques, les personnalités, les chefs d'entreprise et les journalistes.