Je n’ai jamais été un expert en cybersécurité. Mais comme beaucoup, le sujet à commencer à m'interroger lorsque j’ai été confronté à quelques situations qui m’ont obligé à me poser les bonnes questions : un compte piraté ici, un mail étrange là, une notification de connexion suspecte reçue un soir alors que je n’étais connecté à rien.
Et à force d’articles alarmants, à raison, sur les fuites massives de données (la dernière en date évoque 16 milliards de mots de passe volés), j’ai fini par comprendre une chose simple : le problème se situe généralement entre la chaise et l'écran... et force est de constater qu'on facilite souvent le travail aux hackers.
19 juin 2025 à 15h37
Au fil du temps, j’ai adopté des réflexes de base. Non pas des mesures à en devenir angoissés comme Elliot Alderson, le personnage parano de Mr. Robot qui passe ses disques durs au four micro-ondes, utilise uniquement des téléphones jetables et chiffre systématiquement toutes données… mais juste ce que l’on pourrait appeler le b.a.-ba de la sécurité en ligne. Et en prenant un peu de recul, je m'aperçois que tout tient finalement en sept habitudes que j’ai mises de côté, et qui font aujourd’hui toute la différence.
1. Un même mot de passe pour plusieurs services : l'erreur du débutant
Il fut un temps où j’utilisais le même mot de passe pour mon compte e-mail, Facebook, Amazon et d'autres plateformes et sites de e-commerce. Un mot de passe simple comme "bonjour" (littéralement). Pratique ? Oui. Dangereux ? Énormément. C’est d’ailleurs par là que tout commence : un compte piraté peut donner l'accès à dix autres si l’identifiant et le mot de passe sont réutilisés.
Ce que j'ai changé :
J’ai investi un quart d’heure pour installer Proton Pass, un gestionnaire de mots de passe développé par l’équipe de Proton (à qui l’on doit aussi ProtonMail et Proton VPN). Il m’aide à créer un mot de passe unique et complexe pour chaque compte, que je n’ai plus besoin de mémoriser.
- moodVersion gratuite limitée
- databaseStockage illimité
- browse_activityNotification de suite
- lockChiffrement AES-256
J’utilise également SimpleLogin, un service intégré à Proton, qui me permet de créer des alias d’e-mails : au lieu de donner ma vraie adresse à chaque site ou application, je génère un alias unique, qui redirige vers ma boîte principale. Ainsi, si un service est compromis ou se met à m’envoyer du spam, je peux désactiver cet alias en un clic — sans jamais exposer mon adresse réelle.
Ceux qui n'ont pas confiance en des services en ligne pour stocker leurs mots de passe (on ne leur en voudra pas vu le cas LastPass…) peuvent aussi utiliser un gestionnaire de mots de passe en local, KeePass et ses variantes comme KeyPass XC, en est un bon exemple et peut d'ailleurs être utilisé en version portable, à placer sur une clé USB… clé que vous pouvez déconnecter de votre machine lorsque vous ne l'utilisez pas !
Depuis que j’ai mis ça en place, je reçois moins de spam, je garde le contrôle sur mes identifiants… et je dors mieux.
2. L’authentification à deux facteurs ? J’ai mis du temps à m’y mettre
Pendant des années, je l’ai ignorée. Trop contraignant, pensais-je. Jusqu’à ce que je réalise que même avec un mot de passe solide, un accès à mon adresse e-mail suffisait à tout réinitialiser.
Ce que j'ai changé :
Aujourd’hui, tous mes comptes sensibles sont protégés par 2FA (avec une appli d’authentification, jamais par SMS). Ce n’est pas une garantie absolue, mais c’est un verrou de plus – et un sérieux.
Pourquoi éviter le SMS ? Parce que ce canal est plus vulnérable qu’on ne le pense. Les pirates peuvent intercepter des codes 2FA par SIM swap (usurpation de carte SIM), par hameçonnage, ou en exploitant des failles dans les réseaux mobiles.
20 juin 2025 à 15h35
Les applications d’authentification comme Authy ou Google Authenticator offrent une protection bien plus robuste, même si elles ne sont pas infaillibles… Reste que les codes générés ne transitent jamais par le réseau mobile et sont stockés uniquement sur votre appareil, un gage de sécurité.
3. Enregistrer ses mots de passe dans le navigateur ? C'est non !
Je n’avais jamais vraiment réfléchi à ce que deviennent les mots de passe que j’enregistre dans Chrome. À vrai dire, c'est plutôt pratique : vous vous inscrivez sur une plateforme, ou vous entrez votre mot de passe pour la première fois dans votre navigateur, et un pop-up apparait pour vous proposer de l'enregistrer pour ne plus jamais avoir à le taper ! Et puis j’ai découvert l’existence des infostealers, ces malwares capables de les siphonner en quelques secondes.
Ce que j’ai changé
J’ai désactivé l’enregistrement automatique des mots de passe de mon navigateur et tout migré dans le gestionnaire de mots de passe dont je parle dans le premier point. Un peu fastidieux au départ, mais bien plus rassurant à l’usage. Et puisque l'occasion fait le laron, j'en ai profité pour changer certains mots de passe qui étaient enregistrés depuis bien trop longtemps dans mon navigateur !
4. Cliquer trop vite sur un lien douteux
On ne va pas se mentir, ça nous est tous déjà arrivés ! Cliquer sur un lien douteux, reçu par mail, ou sur une messagerie instantanée, sans trop vérifier. Une livraison, une alerte de sécurité, une facture EDF… Tous les prétextes sont bons pour les campagnes de phishing. Un jour, j’ai failli entrer mes identifiants Google sur une page parfaitement imitée.
Ce que j’ai changé
Désormais, je ne clique plus sur aucun lien sans y regarder à deux fois. Un message d’apparence officielle, un e-mail de livraison inattendu, une alerte de sécurité urgente : tout est désormais suspect par défaut. Je prends le temps d’examiner l’adresse de l’expéditeur, de survoler les liens pour voir où ils mènent réellement, et de repérer les petits signes d’usurpation (fautes, formulations étranges, logos flous…).
Et si le message semble pressant — “votre compte va être désactivé” (souvent vue sur Messenger celle-ci), “suspicion de fraude”, etc. — je n’agis jamais dans la précipitation. À la place, je me rends manuellement sur le site en question, via mon navigateur ou une application officielle. C’est une règle simple, mais elle m’a déjà évité de tomber dans plusieurs pièges.
Le phishing joue sur l’urgence et l’émotion. Y résister, c’est déjà se protéger.
5. Les mises à jour reportées "à plus tard".
Pendant longtemps, j’ai repoussé les mises à jour à plus tard, souvent par réflexe ou par confort. Une notification surgissait, je cliquais sur “Rappeler dans une heure”, puis j’oubliais. J’avais l’impression que ces mises à jour étaient secondaires, des améliorations de design ou de performance que je pouvais bien différer.
Mais ce que j’ignorais, c’est que la plupart des mises à jour contiennent des correctifs de sécurité cruciaux, visant à boucher des failles parfois déjà connues et activement exploitées par des cybercriminels. Certaines de ces failles — appelées zero-day — peuvent permettre à un hacker de prendre le contrôle d’un appareil, voler des données ou contourner des protections… sans que l’utilisateur ne s’en rende compte.
Ce que j’ai changé
J’ai activé les mises à jour automatiques sur tous mes appareils, y compris le smartphone, le navigateur, les applis, et je vérifie de temps en temps si des mises à jour sont disponibles ou non pour le firmware de mes objets connectés.
Oui… cela peut interrompre une session ou forcer un redémarrage au mauvais moment. Mais ce léger inconfort est un prix dérisoire comparé aux risques que l’on prend à ne pas bénéficier des dernières mises à jour de sécurité sur nos appareils.
En cybersécurité, ce qui n’est pas à jour devient vite une faille.
6. Trop partager, sans vraiment y réfléchir
C’est sans doute l’habitude la plus banalisée… et pourtant l’une des plus exploitables. Je n’ai jamais posté mon RIB sur les réseaux, évidemment, mais pendant longtemps, j’ai partagé sans trop y penser des informations comme ma date de naissance, le nom de mon chat ou ma ville d’origine.
Des détails apparemment anodins — sauf qu’ils figurent très souvent dans les questions de récupération de compte : celles qu’on vous pose quand vous avez oublié votre mot de passe.
C’est là que réside le vrai danger. Pas besoin d’être un hacker pour répondre à “Quel est le nom de votre premier animal ?” quand vous l’avez mentionné dans une bio Instagram ou un vieux post Facebook. Et si un attaquant accède à votre messagerie, il peut ensuite réinitialiser tous vos comptes rattachés : banque, réseaux sociaux, cloud…
Ce que j'ai changé
Je filtre beaucoup plus ce que je rends public, même dans des cercles “privés”. Et surtout, je n’utilise plus jamais de vraies informations pour les questions de sécurité. À la place, j’entre des réponses fictives, sans aucun lien avec ma vie personnelle — que je stocke dans mon gestionnaire de mots de passe.
Car en réalité, ces questions ne servent pas à vous identifier — elles testent votre mémoire. Alors oui, mon premier animal de compagnie ne s'appelait pas "Zèbre violet 42", mais peut importe !
7. Me croire à l’abri
C’est sans doute la croyance la plus tenace, et la plus confortable : penser que les fuites de données et autres cyberattaques ne concernent que les autres. Ceux qui manipulent de l’argent et des cryptomonnaies, ou qui s'exposent un peu trop sur les réseaux. Il est ainsi assez facile de se croire "hors du radar".
Mais ce que j’ai fini par comprendre, c’est que la menace ne cible pas uniquement des profils, elle cible des vulnérabilités. Et nous en avons tous. Il suffit d’un service tiers compromis, d’un clic sur un lien vérolé, d’un compte oublié pour devenir la prochaine victime d’un piratage. La majorité des attaques aujourd’hui sont automatisées, silencieuses, sans visage. Elles ne cherchent pas une personne en particulier, mais une porte entrouverte, un verrou mal posé.
En cybersécurité, l’inaction est une faille en soi. Et croire que l’on est à l’abri, c’est justement ce qui rend vulnérable. Adopter de meilleures habitudes, ce n’est pas céder à la peur, c’est simplement s’adapter à un monde où notre vie numérique vaut autant que nos clés, notre portefeuille ou notre identité.
Finalement, ces sept habitudes que j’ai abandonnées n’étaient pas des mesures exceptionnelles, mais des réflexes de base. Des gestes simples, concrets, que chacun peut mettre en place — non pas pour tout verrouiller, mais pour reprendre un peu de contrôle. Parce que dans un environnement connecté, ne rien faire, c’est déjà prendre un risque.
