Les VPN sont un sujet phare parmi les lecteurs de ZDNET. Beaucoup d’entre vous les utilisent pour protéger vos communications, votre vie privée ou votre localisation, ou pour déplacer votre adresse physique apparente (ce qui peut ou non enfreindre les conditions d’utilisation de divers sites).
Un VPN chiffre la connexion de votre ordinateur aux serveurs VPN. Ils ne changent pas ce qui se passe sur les sites Web que vous visitez, ils ne protègent pas ce que vous faites sur ces sites, ils ne protègent pas ce qui se passe sur votre ordinateur. Les VPN ne sont qu’un simple tunnel. Ne leur attribuez pas de pouvoirs de protection magiques, ils ne peuvent pas vous éviter de commettre certaines erreurs.
Voici 10 (parmi les innombrables) choses déconseillées que font les internautes et contre lesquelles les VPN ne peuvent pas les protéger.
1. Saisir des informations sensibles sur un site HTTP
Google et les fabricants de navigateurs ont fait de gros efforts pour sécuriser le protocole HTTP, c’est pourquoi la plupart des adresses Web commencent aujourd’hui par le préfixe https:. Obtenir des certificats SSL et sécuriser les sites Web est devenu beaucoup plus facile ces dernières années, la plupart des fournisseurs d’hébergement faisant de la sécurité HTTPS une valeur par défaut.
Mais il existe encore de nombreux sites Web anciens ou mal entretenus qui n’ont pas subi la conversion au protocole HTTP sécurisé. La plupart sont des sites communautaires, des sites de petites entreprises, des sites de clubs et des sites d’organisations comme ceux gérés par des associations d’anciens élèves. Ce qui crée un risque, c’est que ces sites sont souvent gérés par des groupes auxquels vous faites confiance.
Ce sont également des sites sur lesquels vous êtes susceptible de saisir des informations personnelles, même s’il s’agit simplement de mettre à jour vos informations. Rien dans un VPN ne vous empêchera de publier sur un site non sécurisé.
2. Saisir des informations personnelles sur un site piraté ou malveillant
C’est un corollaire du point 1 ci-dessus. Même si un site utilise le protocole HTTPS, même s’il y a cette petite icône de cadenas sur la barre du navigateur, le site lui-même peut être malveillant ou corrompu.
Comme vous ne savez peut-être pas qu’un site normalement fiable a été piraté, je vous recommande de vérifier régulièrement vos comptes bancaires pour vous assurer que vous n’avez pas été victime d’une fraude.
Faites preuve de prudence lorsque vous fournissez des informations d’identification personnelle. Idem lorsque vous saisissez des informations financières. Les sites qui semblent légitimes peuvent avoir été piratés. Rien dans un VPN ne vous empêchera de saisir des informations personnelles sur un site piraté ou malveillant.
3. Téléchargement de logiciels malveillants
En parlant de sites Web non sécurisés ou mal entretenus, ce sont également des sites susceptibles d’être corrompus par des logiciels malveillants. De nombreuses infections par des logiciels malveillants proviennent de sites de confiance, vous n’avez donc pas besoin de visiter quelque chose de louche ou d’illégal pour être infecté.
Heureusement, les systèmes d’exploitation actuels et les navigateurs font un assez bon travail de protection contre les logiciels malveillants. Mais vous devez impérativement vous assurer que vos systèmes sont à jour pour parer à toute nouvelle menace.
Rien dans un VPN ne vous empêchera de télécharger une charge utile de malware.
4. Ignorer les mises à jour de logiciels et de sécurité
Les systèmes d’exploitation et les navigateurs font un très bon travail pour intercepter les logiciels malveillants, mais seulement s’ils sont à jour. Il s’agit d’une course aux armements, où les acteurs malveillants sont constamment à la recherche d’exploits.
Lorsqu’un exploit est découvert par un acteur malveillant, il y a généralement une très courte fenêtre de temps avant que les fournisseurs de systèmes d’exploitation ou de navigateurs ne publient un correctif. Mais si vous ne faites pas de mise à jour, vous n’aurez pas ce correctif et vous continuerez à être vulnérable.
La plupart des systèmes vous permettent d’activer les mises à jour automatiques. C’est peut-être la meilleure voie à suivre. Un VPN ne mettra pas à jour vos systèmes à votre place.
5. Installation d’extensions de navigateur douteuses
Les extensions de navigateur qui fonctionnaient auparavant parfaitement peuvent parfois recevoir des mises à jour qui contiennent des logiciels malveillants. Cela peut être dû au fait que l’extension a été piratée ou qu’elle a été initialement publiée pour gagner un public et a ensuite été corrompue volontairement par son propriétaire.
Juste après le Nouvel An, mon navigateur Chrome m’a informé que j’utilisais une extension qui n’était peut-être pas sûre. Il s’agissait simplement d’un lecteur de pages que j’utilisais de temps en temps depuis des années. Mais soudain, il n’était plus sûr.Rien dans un VPN n’aurait empêché cette extension de navigateur de basculer de pirater mon ordinateur.
6. Avoir une mauvaise hygiène des mots de passe
Utilisez-vous le même mot de passe partout ? Utilisez-vous un sésame court et facile à retenir comme le nom d’un animal de compagnie, d’un enfant ou encore « 123456 »? Faites-vous partie de ces risque-tout qui utilisent le mot « mot de passe » comme mot de passe ? Si oui, il faut immédiatement changer de méthode.
Les mots de passe cèdent peut-être la place aux clés d’accès (passkey), mais la transition est loin d’être terminée. Seul un petit pourcentage de sites accepte les passkey, qui restent problématiques et, parmi les sites qui les implémentent, certains le font de manière étrangement inutile.
Le mieux est d’utiliser des mots de passe forts et différents pour chaque site. Et n’oubliez pas que même si un VPN peut protéger votre connexion entre votre ordinateur et ses serveurs, il ne rendra pas votre mot de passe inviolable. Rien dans un VPN ne vous protégera contre l’utilisation de mauvais mots de passe.
7. Ignorer l’authentification multifacteur
J’ai récemment reçu un courriel d’un service cloud auquel je fais appel tous les jours. Il m’informait que quelqu’un avait demandé une réinitialisation du mot de passe sur mon compte. Je reçois régulièrement ce genre d’avis concernant quelqu’un qui essaie de pirater un compte. Jusqu’à présent, j’ai été protégé parce que j’utilise l’authentification multifacteur.
Cela signifie que même si quelqu’un connaît mon nom d’utilisateur et obtient d’une manière ou d’une autre mon mot de passe, il ne peut pas accéder à mes comptes. L’utilisation de mots de passe seuls est loin d’être sûre. Certains sites stockent les mots de passe sans les chiffrer. S’ils sont négligents dans la gestion des mots de passe, ils sont susceptibles d’être négligents en termes de protection contre les intrusions. Une fois que des mots de passe sont divulgués sur le Web à la suite d’un piratage, ce n’est qu’une question de temps avant que quelqu’un essaie de les utiliser sur vos comptes.
C’est là qu’intervient l’authentification multifacteur. Elle ajoute un deuxième facteur au processus de connexion : un code envoyé par SMS sur votre téléphone, par exemple. Sans avoir accès à ce deuxième facteur, même si un acteur malveillant connaît votre mot de passe, il ne peut pas se connecter. Mais il faut configurer cela pour tous vos comptes qui le permettent.
Rien dans un VPN n’empêchera les pirates d’utiliser un mot de passe volé et d’accéder à vos comptes si vous n’avez pas de deuxième facteur. Et un VPN ne vous obligera pas à configurer des authentifications à facteurs supplémentaires pour tous vos comptes.
8. Ouvrir des pièces jointes de courriels potentiellement malveillantes
L’un des moyens les plus courants par lesquels les logiciels malveillants pénètrent dans les systèmes informatiques est lorsqu’un utilisateur ouvre la pièce jointe d’un courriel.
Si vous tombez dans ce piège, de très mauvaises choses peuvent se produire.
Un VPN ne vous empêchera pas de cliquer sur une pièce jointe malveillante et ne bloquera pas son exécution.
9. Se faire avoir par des courriels de phishing
Les courriels de phishing sont conçus pour leurrer les victimes. J’en ai reçu un l’autre jour qui prétendait provenir de PayPal. Il contenait des liens qui ressemblaient à de vrais liens PayPal (même si en collant ces liens dans un éditeur de texte pour les inspecter). Mais le message était clairement une forme d’e-mail frauduleux destiné à tromper sa victime pour l’amener à entreprendre une action dangereuse.
Heureusement, les gestionnaires de messagerie et les navigateurs modernes font de leur mieux pour bloquer le phishing, mais beaucoup parviennent à passer à travers. Il faut demeurer très attentif aux messages inhabituels ou non sollicités que vous recevez.
Un VPN ne vous empêchera pas de recevoir un courriel de phishing ou d’éviter de vous faire embarquer dans une arnaque.
10. Se faire arnaquer en ligne
Lorsque vous commandez quelque chose en ligne, vous prenez toujours un certain risque. Des services comme Amazon et eBay font de leur mieux pour réduire le risque en offrant des retours généreux ou des garanties de sécurité pour l’acheteur, mais le risque est toujours présent.
Dans le cadre de mon travail, je dois souvent m’inscrire et payer pour des services cloud, dont certains ont des origines très douteuses. Comme il n’y a aucune chance que je leur donne ma propre carte de crédit, j’ai pris l’habitude d’utiliser Privacy.com (service non disponible en Europe) pour créer des cartes à usage unique et à montant limité. De cette façon, le pire qui puisse m’arriver est de perdre le coût d’un paiement mensuel (ce qui est arrivé, mais heureusement assez rarement).
Rien dans un VPN ne vous empêchera de donner votre numéro de carte aux mauvaises personnes ou de vous faire arnaquer.