Le mythe d'une sécurité "suffisante"

1. Mots de passe : confier l'entropie à la machine

Les humains génèrent mal l'aléatoire. Quand nous essayons d'être malins, nous créons des motifs que les outils de cassage exploitent précisément.

Utilisez un gestionnaire de mots de passe afin que chaque compte reçoive un secret unique et à forte entropie généré par un logiciel.

Le seul secret à mémoriser doit être une longue phrase de passe, et le coffre doit utiliser une dérivation moderne comme Argon2id.

2. Authentification : liée à l'origine, pas seulement à deux facteurs

Les codes à deux facteurs classiques aident, mais ils restent phishables en temps réel. Le SMS est particulièrement fragile à cause des SIM swaps et transferts de numéro.

FIDO2 et WebAuthn changent le protocole. Une passkey ou clé matérielle prouve la possession d'une clé privée pour une origine précise, qu'un domaine de phishing ne peut pas rejouer.

• Clés de sécurité et passkeys : résistantes au phishing et liées à l'origine.
• Applications d'authentification : utiles, mais vulnérables au phishing en temps réel.
• Codes SMS ou e-mail : à éviter pour les comptes importants.

3. Messagerie : le chiffrement n'est pas une case à cocher

Le chiffrement de bout en bout protège le contenu, mais les détails de conception comptent. La confidentialité persistante protège mieux les anciennes conversations si une clé longue durée est compromise plus tard.

Les messages éphémères réduisent les données laissées derrière. Les données qui n'existent plus ne peuvent pas être aspirées, réclamées ou divulguées des mois plus tard.

Le chiffrement n'efface pas les métadonnées et ne protège pas si un attaquant contrôle votre appareil déverrouillé.

4. Hygiène réseau : le vrai rôle du VPN

Un VPN n'est pas une cape d'invisibilité. Il déplace la confiance du réseau local vers le fournisseur VPN.

Utilisez-le lorsqu'il résout un problème concret : Wi-Fi hostile, censure ou limitation du trafic. N'attendez pas qu'il corrige une mauvaise hygiène de navigateur ou une authentification faible.

Les protocoles modernes comme WireGuard sont intéressants car leur conception est compacte, auditable et fondée sur des primitives cryptographiques bien comprises.

5. Navigateurs : là où beaucoup de comptes tombent

De nombreuses prises de compte commencent par des cookies de session volés, pas par une cryptographie cassée. Le navigateur est un environnement risqué, plein de scripts, d'extensions et de sessions longues.

Gardez peu d'extensions, bloquez agressivement les scripts tiers et séparez les identités avec des profils ou conteneurs lorsque possible.

L'authentification résistante au phishing est essentielle : une clé matérielle liée à l'origine refuse de fonctionner sur le mauvais domaine.

6. Partage sécurisé : réduire le rayon d'impact

Il faut parfois partager des secrets, mais l'e-mail et les chats de travail créent une dette de sécurité durable avec leurs journaux, sauvegardes, aperçus et métadonnées.

Le modèle plus sûr est le partage éphémère chiffré côté client : chiffrer avant l'envoi, éviter de stocker les clés côté serveur et expirer rapidement.

L'éphémérité n'est pas un gadget. C'est la minimisation des données appliquée aux flux humains.

Une base pour le week-end

La sécurité n'est pas un état binaire. C'est une friction progressive appliquée aux bons endroits.

Le but n'est pas d'être impossible à pirater. Le but est de rendre le coût d'attaque supérieur à la valeur des données obtenues.

1. Passez les comptes sensibles à des mots de passe uniques générés par un gestionnaire.
2. Ajoutez une authentification matérielle à votre identité principale, surtout l'e-mail.
3. Auditez et supprimez les extensions de navigateur inutiles.
4. Déplacez les conversations sensibles vers une messagerie chiffrée de bout en bout avec messages éphémères activés.