Tuto : Comment mieux protéger son adresse mail du spam et du piratage ?

Les professionnels de la médiation numérique rabâchent-ils des solutions faciles concernant la sécurisation des emails ?

À force d’arpenter des supports pédagogiques, je suis de plus en plus convaincu qu’il y a un angle mort majeur à ce sujet, dont l’on va parler ici. Ce sera l’occasion de te proposer une méthode que j’expérimente depuis bientôt trois ans.

Au menu ce jour d’hui, nous aborderons :

• L’approche « classique », et pourquoi c’est insuffisant
• Comment mieux te protéger du spam avec une nouvelle approche
• Aborder la technologie Passkey

Go !

Les ateliers de médiation numérique sur les emails, les identifiants et les mots de passe ne vont pas assez loin

Les ateliers consacrés à la sécurité informatique, aux mots de passe ou aux emails, sont devenus des classiques, qui disposent d’abondantes ressources en la matière.

Pour t’en convaincre, il te suffira d’explorer les bases de l’ANCT – où trames et supports d’ateliers sont partagés par les professionnels de la médiation.

Les Bases du numérique d’intérêt général

La plateforme collaborative de partage de ressources & communs numériques: Inclusion, environnement, culture, sécurité.... Inspirez-vous, produisez, diffusez, contribuez.

Pourtant, en dépit d’un intérêt réel, j’estime ces actions de sensibilisation et de formation insuffisantes pour protéger au mieux celles et ceux que l’on forme.

Le déroulé pédagogique d’un atelier sécurité des mots de passe et de l’adresse email

En règle générale, de tels ateliers se déroulent selon le canevas suivant :

• Expliquer ou rappeler ce qu’est un mot de passe et son utilité pour accéder à son email
• Vulgariser la complexité idéale d’un mot de passe
• Inviter l’apprenant à tester, et évaluer la complexité et la pertinence de ses MDP
• Valoriser l’usage d’un mot de passe unique pour chaque site
• Expliquer et valoriser l’usage d’un gestionnaire de mots de passe

Cette structure est susceptible de varier selon la personne qui dispense la formation, bien sûr ! Néanmoins, c’est déjà un bon morceau quand on n’a que 2 à 3h (maximum) pour accompagner un public en situation de fracture numérique.

Le problème de cette approche, dite « classique », c’est qu’elle se focalise seulement sur la sécurité des mots de passe.

À mon sens, et comme tu vas le voir, il est pourtant possible de traiter les deux en même temps.

Note bien que je ne blâme en aucun cas les formateur.ice.s de cet état de fait : parfois, le manque de temps, de moyens ou le faible niveau des apprenants empêchent d’aller plus loin. Qui plus est, ce qui va suivre se situe un cran technique au-dessus. C’est du « bonus », qui, à ce titre, termine zappé.

Comment protéger son adresse email du spam et autres attaques ?

Supposons que, suite à une formation aux bases de la sécurité informatique, tu adoptes un gestionnaire de mots de passe, et qu’en plus tu utilises un mot de passe unique pour chaque site où tu disposes d’un compte utilisateur.

En tant que formateur, je devrais te féliciter, et considérer que l’atelier a porté ses fruits.

Ce n’est en réalité qu’à moitié vrai.

Ton adresse email demeure vulnérable et exploitable par des hackers.

Même s’ils ne disposent pas de ton mot de passe.

Te concentrer sur la protection des mots de passe n’épargne pas le spam et d’autres attaques

En 2024, année de Jeux Olympiques, la France a subi de nombreuses cyber-attaques, dont les deux plus importantes furent sans doute celles de Boulanger et Free.

Sur le moment, ces structures ont réagi avec un mail où elles informaient leurs clients du piratage (une obligation légale), puis les rassuraient sur l’absence de capture des coordonnées bancaires... Comme s’il s’agissait de la seule chose importante à protéger.

L’importance du vol d’informations personnelles, dont l’adresse email ou postale, a été minimisée.

Article - Le Monde - 11 septembre 2024

Là, c’est le moment où tu peux rire jaune.

Le fait est qu’avec ton adresse email dans la nature, tu es exposé à un risque accru d’usurpation d’identité ou de spam.

Personne n’a besoin de ton mot de passe pour t’inscrire dans une liste d’emails à spammer.

Tout l’enjeu est d’éviter de finir sur de telles listes.

Have I Been Pwned: Check if your email has been compromised in a data breach

Have I Been Pwned allows you to search across multiple data breaches to see if your email address or phone number has been compromised.

';--have i been pwned?

Utiliser la technologie des alias et Passkey pour multiplier tes identifiants

Pour remédier à cette faiblesse de sécurité, tu as la possibilité d’adopter une logique similaire à celle des mots de passe.

Par exemple, ça donnerait :

• Site 1 : char.pe[@]gmail.com + MDP 1
• Site 2 : molly.baron[@]hotmail.fr + MDP 2
• Site 3 : car-not[@]yahoo.fr + MDP 3
• Etc.

C’est le moment où tu vas me répondre que tu n’as nulle envie de créer une centaine de boites mails, ni de jongler entre les unes et les autres.

Logique.

Imparable.

C’est... exagéré.

Je le reconnais de bonne foi.

Nul besoin pourtant d’en arriver à une telle extrémité.

Il te suffit d’intégrer à tes pratiques un générateur d'alias, comme la technologie Passkey.

Qu’est-ce que la technologie Passkey ?

C’est un moyen de générer et utiliser des adresses secondaires (les fameux alias), qui sont automatiquement connectées à une adresse email principale.

Pour faire simple : chaque fois qu’un email est adressé à l’adresse alias, il est redirigé vers l’adresse principale.

Lorsque tu réponds à un tel message, ta réponse est renvoyée à nouveau par l’intermédiaire de l’alias.

De la sorte, ton interlocuteur n’a jamais accès à ton adresse mail principale.

Visuellement, voilà ce que ça donne :

Utiliser tes adresse d'alias comme identifiants

Vient alors le moment d’être stratégique : il s’agit de remplacer, pour tous les sites où tu disposes d’identifiants, ton adresse mail officielle par un de ces alias - à chaque fois différent.

Ton adresse email principale disparaît ainsi des radars.

Et devient quasi impossible à récupérer.

Même en cas de piratage du site.

Quel outil utiliser pour protéger mon adresse email ?

Plusieurs sociétés et associations mettent à disposition du grand public cette technologique, de façon payante ou gratuite.

ProtonPass et SimpleLogin en sont de bons exemples (dont je me sers au quotidien), mais il en existe d’autres.

À ton tour de protéger ton adresse email !

Tu disposes désormais des éléments nécessaires pour protéger ton adresse email une bonne fois pour toutes. Tes identifiants, une fois devenus vraiment uniques pour chaque site, offriront moins de prises à d’éventuels margoulins du web.

Une solution technique, à la portée de celles et ceux qui souhaitent passer à l’étape du dessus

Soyons francs 5 minutes.

J’ai observé, lors du suivi des parcours de formation, à quel point l’adoption d’un gestionnaire de mots de passe est faible parmi le grand public.

Certes, l’intérêt et l’usage de l’outil sont compris au terme de l’apprentissage, cependant le simple fait de devoir passer du temps à le paramétrer en décourage plus d’un.

Autant dire que, de-là à démocratiser un tel usage des alias – que l’on peut considérer comme le niveau supérieur –, il y a un monde.

Il n’empêche : te recommander le maxi combo « gestionnaire de mots de passe + alias » reste le meilleur conseil de sécurité informatique que je puisse te donner pour les prochains mois.

C’est cadeau ; à toi de voir ce que tu en fais.

Si tu veux creuser le sujet, je t'invite à consulter l'article qu'y a consacré justement l'équipe de Proton :

Organize your inbox and banish spam with advanced email aliases in Proton Pass | Proton

Your email aliases can send emails, save you money on hosting services, and help you manage multiple inboxes: find out how

ProtonSon Nguyen Kim