Les mauvaises habitudes en ligne trop répandues qui compromettent votre sécurité

En 2024, la Commission nationale de l’informatique et des libertés (CNIL) a reçu 5 629 notifications formelles de violations de données personnelles, soit une hausse de 20 % par rapport à l’année précédente, avec deux fois plus d’incidents touchant plus d’un million de personnes.

Cela inclut des mégafuites comme celle de France Travail, qui a exposé 43 millions d’enregistrements, ainsi que la cyberattaque visant des opérateurs de tiers-payant. Il apparaît donc clairement que, même si la législation française est bien définie, le maillon fragile reste le comportement quotidien des utilisateurs.

Mots de passe réutilisés : l’erreur la plus courante

Bien que la presse spécialisée répète ses avertissements d’année en année, “123456” et “azerty” dominent toujours le classement des mots de passe français en 2024, selon le Blog du Modérateur. Cependant, la superficialité du choix n’est pas la principale menace, le véritable problème réside dans la réutilisation de ces codes sur plusieurs comptes.

La Fédération bancaire française (FBF) estime que 57 % des Français ont déjà subi au moins une tentative de fraude liée à leurs données de paiement et que le taux de victimes avérées a progressé de cinq points en un an. Remplacer ce maillon faible par des mots de passe uniques et élaborés reste l’étape la plus élémentaire (et souvent négligée) pour réduire la surface d’attaque.

Authentification à deux facteurs : Pourquoi encore hésiter ?

Malgré la pression exercée par les banques et les régulateurs, l’authentification à deux facteurs (2FA) demeure peu utilisée. Des études indiquent que seulement 46 % des utilisateurs français ont activé la 2FA sur au moins un service critique, un chiffre jugé “préoccupant” par la revue InfoDSI face à l’essor du phishing ciblant les identifiants uniques.

L’une des raisons majeures de cette réticence tient à la perception culturelle selon laquelle la sécurité supplémentaire crée une friction. Cette quête de rapidité et de commodité conduit, par exemple, de nombreux utilisateurs à privilégier les exchange sans KYC, qui permettent une inscription rapide sans vérification d’identité.

Un phénomène similaire se retrouve dans les applications de livraison ou de streaming qui évitent les longs formulaires pour un accès immédiat. Pourtant, des solutions comme les jetons matériels (token), les applications génératrices de codes temporaires (TOTP) ou les clés de sécurité peuvent bloquer jusqu’à 96% des attaques de phishing de masse, selon la Guardia School. Négliger ces ressources revient à renoncer à une protection importante.

Mises à jour manquantes, failles béantes et Wi-Fi public

Dans son Panorama de la cybermenace 2024, l’ANSSI recense 4 386 incidents traités, soit une hausse de 15 %, tandis que les ransomwares continuent de mobiliser la majorité des moyens techniques. Un point commun ressort : logiciels et firmwares ne sont pas mis à jour à temps.

De nombreuses familles de malwares exploitent des vulnérabilités déjà documentées et profitent du retard des correctifs dans les foyers. Associée à l’habitude de se connecter à un Wi-Fi public, cette faille devient encore plus risquée. Même des réseaux apparemment anodins dans les cafés, gares ou aéroports peuvent lancer des attaques “man in the middle”.

Ces attaques peuvent infecter un appareil non mis à jour en quelques minutes, capturant identifiants, cookies et données bancaires en quelques secondes. Bien que le RGPD ait relevé le niveau de protection des données dans l’UE, plus de la moitié des Français se connectent encore à des Wi-Fi publics sans ajouter de couche de sécurité.

Un seul hotspot non protégé suffit pour qu’un cheval de Troie franchisse toutes les “tranchées” de votre appareil. Utiliser un VPN gratuit mais correctement configuré ne règle pas tout, mais chiffre le trafic et réduit nettement la surface d’attaque sans coût supplémentaire.

Réseaux sociaux : l’excès de partage devient une munition pour les escrocs

Le Digital Report France 2024 indique que 78,2 % de la population française possède un compte actif sur les réseaux sociaux et y passe en moyenne 1 h 48 min par jour. Le problème est que beaucoup publient des détails de leur quotidien et les 18-24 ans le font souvent en mode totalement public.

Cet “oversharing” facilite les attaques d’ingénierie sociale : il suffit de croiser photos de vacances, check-in de restaurants et noms d’animaux de compagnie pour deviner les questions de sécurité ou créer des e-mails de phishing ultra-personnalisés. Un simple réglage des paramètres de confidentialité, limitant l’accès aux anciennes publications et aux tags automatiques, bloque déjà une grande partie de ces tentatives.

Téléchargements et streaming douteux : le salut passe par sauvegardes et chiffrement

Le dernier bilan de l’Arcom montre que 18 % des Français ont encore recours à des plateformes IPTV ou de streaming illégales pour les événements sportifs, malgré des blocages plus agressifs. Outre les risques juridiques, ces sites diffusent souvent des installateurs “gratuits” cachant adware et ransomware.

Le mécanisme est simple : l’utilisateur autorise des pop-ups, active des notifications ou installe des extensions pour regarder un match et, sans s’en rendre compte, cède le contrôle total de son système. Se méfier de tout fichier hors boutiques officielles (ou sans hachage vérifié) demeure la barrière la plus efficace, complétée par des outils antibotnet qui surveillent les appels réseau en temps réel.

Si une infection se propage, reste à savoir s’il existe une sauvegarde. Une étude citée par la campagne World Backup Day révèle que 41 % des utilisateurs effectuent rarement, voire jamais, de sauvegarde.

Même des solutions gratuites, locales ou dans le cloud, peuvent suivre la règle 3-2-1 (trois copies, sur deux supports différents, dont une hors domicile) et appliquer le chiffrement de bout en bout pour que, si l’appareil tombe entre de mauvaises mains, le contenu demeure illisible.