Au cours des dernières années, nous avons pris l’habitude de nous connecter à des applications et sites Internet indispensables, comme celles et ceux des banques en ligne, en utilisant à la fois un mot de passe et un autre moyen de vérification. Il peut être question d’un mot de passe à usage unique (OTP) envoyé par SMS, email ou notification push, d’un code provenant d’une application d’authentification, ou même d’un périphérique USB spécial, aussi appelé « jeton ». Ce mode de connexion, appelé authentification à deux facteurs (2FA), complique considérablement le piratage : le fait de voler ou de deviner un mot de passe ne suffit plus pour pirater un compte. Mais que faire si vous n’avez essayé de vous connecter nulle part et que vous recevez soudain un code à usage unique ou une demande de saisie de ce code ?
Trois raisons peuvent expliquer cette situation :
- Une tentative de piratage. Des pirates informatiques ont découvert, deviné ou volé votre mot de passe, et essaient maintenant de l’utiliser pour accéder à votre compte. Vous recevez donc un message authentique de la part du service auquel ils essaient d’accéder.
- Une préparation en vue d’un piratage. Des pirates informatiques ont découvert votre mot de passe ou essaient de vous pousser à le révéler. Dans ce cas, le message contenant un mot de passe à usage unique (OTP) est une forme de phishing. Le message est faux, même s’il peut beaucoup ressembler à un message authentique.
- Une simple erreur. Parfois, les services en ligne sont configurés pour demander d’abord un code de confirmation par SMS, puis un mot de passe, ou pour permettre l’authentification à l’aide d’un simple code. Dans ce cas, un autre utilisateur a pu faire une faute de frappe et saisir votre numéro de téléphone ou email au lieu du sien, et vous recevez le code à sa place.
Comme vous pouvez le voir, ce message peut cacher une intention malveillante. Mais la bonne nouvelle est qu’à ce stade, il n’y a pas de dommages irrémédiables et qu’en prenant les mesures nécessaires, vous pouvez éviter un quelconque problème.
Que faire si vous recevez une demande de code ?
Surtout, ne cliquez pas sur le bouton de confirmation si le message est de type « Oui/Non », ne vous connectez pas n’importe où et ne partagez pas les codes que vous recevez avec qui que ce soit.
Si le message contenant une demande de code contient des liens, ne les suivez pas.
Il s’agit des règles les plus importantes à suivre. Tant que vous ne confirmez pas votre connexion, votre compte est sécurisé. Cependant, il est très probable que le mot de passe de votre compte soit connu des pirates informatiques. Par conséquent, la première chose à faire est de modifier le mot de passe de ce compte. Pour contacter le service concerné, saisissez son adresse Internet manuellement. Ne suivez pas de lien. Saisissez votre mot de passe, obtenez (et ce point est important !) un nouveau code de confirmation et saisissez-le. Ensuite, rendez-vous dans les paramètres liés au mot de passe et définissez un nouveau mot de passe fort. Si vous utilisez le même mot de passe pour d’autres comptes, vous devrez également modifier le mot de passe pour ces comptes. Assurez-vous néanmoins de créer un mot de passe unique pour chaque compte. Nous savons qu’il peut être difficile de mémoriser autant de mots de passe, c’est pourquoi nous vous recommandons de les stocker dans un gestionnaire de mots de passe.
Cette étape (c’est-à-dire la modification de vos mots de passe) n’est pas nécessairement urgente. Il n’est pas question de le faire dans la précipitation, mais ne remettez pas non plus la chose à plus tard. Pour les comptes importants (comme ceux liés aux banques), les pirates informatiques peuvent tenter d’intercepter le mot de passe à usage unique (OTP) s’il est envoyé par SMS. Pour ce faire, ils procèdent à un échange de carte SIM, c’est-à-dire qu’ils enregistrent une nouvelle carte SIM associée à votre numéro, ou ils lancent une attaque via le service en réseau de l’opérateur en exploitant une faille dans le protocole de communication SS7. Par conséquent, il est important de modifier votre mot de passe avant que les pirates informatiques ne tentent une telle attaque. En général, les codes à usage unique envoyés par SMS sont moins fiables que les applications d’authentification et les jetons USB. Nous vous recommandons de toujours utiliser la méthode 2FA la plus sécurisée parmi celles qui vous sont proposées. Pour en savoir plus sur les différentes méthodes d’authentification à deux facteurs, cliquez ici.
Que faire si vous recevez un grand nombre de demandes de mot de passe à usage unique (OTP) ?
Pour vous inciter à confirmer une connexion, les pirates informatiques peuvent vous assaillir de codes. Ils essaient encore et encore de se connecter à votre compte, dans l’espoir que vous finissiez par cliquer par inadvertance sur » Confirmer » ou que vous accédiez au service et désactiviez la 2FA sous le coup de l’agacement. Il est important de rester calme et de ne faire ni l’un ni l’autre. La meilleure chose à faire est de se rendre sur le site du service comme décrit ci-dessus (en ouvrant le site manuellement, et non via un lien) et de modifier rapidement votre mot de passe. Mais pour ce faire, vous devez recevoir et saisir votre propre mot de passe à usage unique (OTP) authentique. Certaines demandes d’authentification (par exemple, les avertissements liés à la connexion aux services Google) affichent un bouton « Non, ce n’est pas moi » distinct. Généralement, ce bouton provoque le blocage automatique du pirate informatique et de toute nouvelle demande de 2FA par les systèmes automatisés du service. Une autre solution (même s’il ne s’agit pas de la plus pratique) consisterait à passer votre téléphone en mode silencieux voire en mode avion pendant environ une demi-heure, jusqu’à ce que la vague de codes se calme.
Que faire si vous confirmez par erreur la connexion d’un inconnu ?
Il s’agit du pire des scénarios, car vous avez dans ce cas probablement autorisé un pirate informatique à accéder à votre compte. Les pirates informatiques modifient rapidement les paramètres et les mots de passe. Vous devrez donc rattraper votre retard et faire face aux conséquences du piratage. Vous trouverez ici des conseils pour ce cas de figure.
Comment vous protéger ?
Dans ce cas, le meilleur moyen de défense consiste à garder une longueur d’avance sur les malfaiteurs : si vis pacem, para bellum. C’est là que notre solution de sécurité intervient. Elle détecte les fuites de vos comptes liées à la fois aux adresses email et aux numéros de téléphone, y compris sur le Dark Web. Vous pouvez ajouter les numéros de téléphone et les adresses email de tous les membres de votre famille, et si les données d’un compte deviennent publiques ou sont découvertes dans des bases de données divulguées, Kaspersky Premium vous alertera et vous donnera des conseils sur la marche à suivre.
Dans le cadre de votre abonnement, Kaspersky Password Manager vous mettra également en garde contre les mots de passe compromis et vous aidera à les modifier, générant ainsi de nouveaux mots de passe impossibles à pirater. Vous pouvez également y ajouter des jetons d’authentification à deux facteurs ou les transférer facilement depuis Google Authenticator en quelques clics. Le stockage sécurisé de vos documents personnels sauvegardera sous forme chiffrée vos documents et fichiers les plus importants, comme les scans de passeport ou les photos personnelles, afin que vous seul puissiez y accéder.
De plus, vos identifiants, mots de passe, codes d’authentification et documents enregistrés seront accessibles depuis n’importe lequel de vos appareils (ordinateur, smartphone ou tablette). Ainsi, même en cas de perte de votre téléphone, vous ne perdrez ni vos données ni vos accès, et vous pourrez facilement les restaurer sur un nouvel appareil. Et pour accéder à toutes vos données, il vous suffit de retenir un seul mot de passe, le principal, qui n’est stocké que dans votre tête et qui sert à chiffrer les données AES selon les normes bancaires.
Avec le « principe de divulgation zéro », personne ne peut accéder à vos mots de passe ou données ; pas même les employés de Kaspersky. La fiabilité et l’efficacité de nos solutions de sécurité ont été confirmées par de nombreux tests indépendants. Ainsi, nos solutions de protection pour particuliers ont reçu la plus haute distinction (Produit de l’année 2023) lors des tests réalisés par le laboratoire européen indépendant AV-Comparatives.