Aller au contenu
Ixonae on Security
  1. Articles/

Hygiène et gestion des comptes en ligne

·7 mins
Ixonae
Vie privée
Ixonae
Auteur
Ixonae
Sommaire

Avertissement : Cet article a été traduit de l’anglais par un LLM. La précision n’est pas garantie. Vous pouvez lire l’article original en anglais.

Selon des enquêtes réalisées par des entreprises de gestionnaires de mots de passe (NordPass, Dashline) en 2017 et 2020, l’utilisateur moyen d’Internet avait entre 100 et 150 comptes en ligne. C’est un nombre relativement important (pas vraiment une surprise puisque vous avez besoin d’un compte pour à peu près tout de nos jours) et beaucoup d’informations personnelles que nous enregistrons sur Internet…

Savez-vous de combien le nombre de violations de données a augmenté en 2021 par rapport à 2020 ? Selon l’ITRC, de 68 %, pour un total de 1 862 événements de compromission de données. Toujours selon l’ITRC, 2021 a vu 23 % de compromissions de données de plus que le record historique de 2017. Quand il s’agit de vos données, la question n’est pas de savoir si elles fuiteront, mais quand elles fuiteront.

Dans cet article, je proposerai quelques stratagèmes que vous pouvez utiliser pour essayer de garder vos données en sécurité, et quelques réflexions à avoir lorsque vous mettez des données personnelles en ligne.

S’inscrire ou ne pas s’inscrire
#

La première question que vous devez vous poser lorsque vous créez un compte est simple : “Ai-je vraiment besoin de ce compte ?” Quelques éléments à considérer :

  • Peut-être pouvez-vous obtenir ce que vous voulez sans le compte ; par exemple en appelant le restaurant pour réserver une table plutôt que de passer par le site web
  • Peut-être que le compte n’apporte pas d’avantages tangibles ; bien sûr, si vous créez un compte et connectez votre humidificateur d’air à Internet, vous pourriez avoir un graphique de l’humidité dans votre appartement en fonction de l’heure. Et après ?
  • Le compte est-il facile à supprimer ultérieurement, et l’entreprise est-elle connue pour de mauvaises pratiques de gestion des données ?

Au final, il n’y a pas de bonne réponse, et vous devez réfléchir à ce qui vous importe avant de prendre une décision. Peut-être considérez-vous que la commodité de s’inscrire à un service compense les implications en matière de vie privée et la charge de gérer un compte supplémentaire, et c’est tout à fait acceptable.

Quelles données renseigner
#

Si vous avez décidé que vous avez besoin de créer un compte, la question suivante est de savoir comment remplir les différentes données requises. À ce stade, vous voulez décider quelles sont les choses auxquelles vous voulez répondre honnêtement. Quelques exemples :

  • Si vous créez un nouveau compte bancaire et fournissez de fausses informations, vous commettez probablement quelques délits qui peuvent avoir de mauvaises conséquences
  • Si vous souscrivez une assurance, remplissez de fausses informations et avez un accident, ils pourraient être en mesure d’éviter de vous indemniser
  • Si vous réservez un restaurant, votre nom et autres n’ont pas d’importance, mais si vous renseignez un mauvais numéro de téléphone et qu’ils essaient de vous appeler, vous pouvez dire adieu à votre réservation. De plus, les mauvais numéros de téléphone peuvent avoir pas mal de conséquences négatives avec les services qui permettent de réinitialiser les mots de passe par SMS

Fondamentalement, ce que vous voulez vous demander est “Que va potentiellement faire le service avec cette information, et quelles sont les conséquences si je donne quelque chose de faux ?”, et à partir de là, choisir ce que vous voulez faire. De plus, ne donnez pas volontairement des informations quand ce n’est pas nécessaire. Si le site web permet de renseigner un numéro de téléphone mais ne le rend pas obligatoire, alors n’en donnez pas.

Si vous allez remplir des données incorrectes, l’objectif est de ne pas attirer l’attention sur vous. Par exemple :

  • Ne remplissez pas votre nom comme “Jean Dupont” ou “Marie Martin”. Essayez de trouver quelque chose de courant, mais pas évidemment faux
  • Si vous devez remplir une adresse physique que vous savez ne sera pas utilisée, utilisez une vraie adresse mais mettez un numéro d’appartement qui n’existe pas. Selon le cas d’usage, remplir n’importe quoi (ex. 00000 comme code postal) convient aussi.

Enfin, soyez conscient que les données que vous renseignez peuvent permettre à quelqu’un de vous pister en faisant des relations entre vos différents comptes. Par exemple, en utilisant votre adresse e-mail. Pour éviter cela, voici quelques éléments à considérer et des stratégies que vous pouvez utiliser (la gestion des adresses e-mail, des identités et autres sont des sujets suffisamment vastes pour mériter un article dédié ; peut-être que je l’écrirai à l’avenir) :

  • Essayez d’utiliser une adresse e-mail unique chaque fois que vous devez en donner une
  • Il n’est pas réaliste de donner un numéro de téléphone différent à chaque fois, mais vous pourriez créer quelques numéros VoIP et faire des groupes. Par exemple, vous utilisez le numéro A pour les livraisons, le numéro B pour les choses importantes comme vos banques, le numéro C pour les choses sans rapport avec votre adresse/vrai nom, comme les réservations de restaurants
  • Beaucoup de services vous offrent la possibilité de vous connecter via un tiers, comme Google ou votre Apple ID. Vous devriez l’éviter, non seulement pour des raisons de vie privée mais aussi parce que perdre l’accès à votre compte Google signifiera perdre l’accès à un tas d’autres comptes
  • Des données aussi simples qu’une photo de profil peuvent être utilisées pour trouver d’autres comptes que vous possédez

Surveillance et gestion des enregistrements
#

Une fois que vous avez créé votre compte, vous devriez l’enregistrer correctement dans un gestionnaire de mots de passe. Non seulement parce que c’est une bonne pratique en matière de sécurité, mais aussi parce que cela vous permettra de surveiller à qui vous avez donné quelles informations.

Une chose que je fais personnellement est de créer des tags pour les différentes adresses et numéros de téléphone que j’utilise (en plus des catégories selon l’identité). Chaque fois que j’utilise l’un d’entre eux avec un compte, j’ajoute le tag à son entrée. Cela me permet de :

  • Savoir quelles informations identifiables j’ai données à un service, donc si celui-ci est piraté, je sais que cette information est disponible dans la nature
  • Si je change de numéro de téléphone ou autre, je sais quels comptes je dois mettre à jour
  • Je sais quels comptes peuvent être liés entre eux par un tiers

En plus des tags, j’ai un autre champ pour entrer la date d’expiration prévue. Je passe souvent en revue mes comptes triés par cette date pour trouver les comptes que je veux supprimer. Nous discuterons de quelques bonnes pratiques de suppression de comptes dans la partie suivante, mais mon point est que vous devriez toujours essayer de supprimer vos comptes quand ils deviennent inutiles (ou même - selon le compte - régulièrement pour éviter de stocker trop de données dedans. Par exemple, si vous utilisez Uber Eats, un nouveau compte chaque fois que vous déménagez est une bonne chose) de cette façon, vous réduisez l’exposition de vos informations personnelles.

Enfin, et je n’entrerai pas dans les détails dans cet article, vous voudrez peut-être aussi envisager d’utiliser des services comme haveibeenpwned et de régulièrement vous googler pour vérifier quelles informations privées peuvent être trouvées en ligne.

Suppression de comptes
#

Cette partie pourrait aussi avoir son propre article dédié car il y a beaucoup de choses à dire, mais je vais essayer de résumer les points les plus importants.

De nos jours, grâce au RGPD et aux lois similaires, beaucoup de sites web offrent une option pour supprimer votre compte par vous-même, ou au moins une adresse e-mail à contacter pour demander la suppression. C’est bien, mais pas toujours parfait. Par exemple :

  • Certains forums supprimeront votre compte, mais ne supprimeront pas vos messages. À la place, ils les afficheront simplement comme postés par “Anonyme” ou quelque chose du genre, mais s’ils contenaient des informations personnelles, celles-ci seront toujours là
  • Certains sites web ne feront techniquement que désactiver votre compte, de sorte qu’il n’est pas visible pour les utilisateurs, mais les informations sont toujours dans la base de données
  • Certaines informations (principalement liées à la facturation) doivent légalement être conservées pour se conformer à la loi, donc il ne sera pas possible de les faire supprimer

Tout cela pour dire que lorsque vous supprimez un compte, vous devriez essayer autant que possible de supprimer les données par vous-même d’abord. Modifiez puis supprimez vos messages manuellement, entrez un faux numéro de téléphone, changez votre pseudonyme, … et ensuite, supprimez le compte.

Parfois, il est difficile de savoir où aller pour faire supprimer vos informations. Ces deux sites web listent les procédures pour un bon nombre de services en ligne :

Crédits
#

Photo d’en-tête par Glenn Carstens-Peters sur Unsplash