Veuillez trouver ci-dessous le replay du webinaire ainsi que les réponses à toutes les questions auxquelles nous n’avons pas pu répondre pendant le webinaire :
1. Que se passe-t-il si le gestionnaire de mot passe est hacké ?
Ça dépend de la vulnérabilité, mais il y a un risque qu’il puisse accéder à l’ensemble des mots de passe.
Dans ce cas, l’attaquant peut récupérer tout ce que vous avez stocké (mots de passe, identifiants et autres données stockées). En général, les coffres sont chiffrés côté client, l’attaquant récupère surtout des coffres chiffrés. Le risque réel dépend alors de la robustesse du mot de passe maître, de l’algorithme de chiffrement et du facteur de multiples authentifications (MFA).
Attention, un gestionnaire de mots de passe ouvert sur un poste de travail est chargé en mémoire (RAM), donc une fois ouvert et chargé en mémoire, tous les mots de passe peuvent être récupérés par un attaquant et là, il ne s’agit pas d’une vulnérabilité. Ne jamais laisser son gestionnaire de mots de passe ouvert une fois l’utilisation terminée.
2. Le gestionnaire de mots de passe est-il vraiment inviolable ?
Rien n’est inviolable en informatique. L’objectif principal d’un gestionnaire de mots de passe est de réduire drastiquement le risque.
3. Quels gestionnaires de mot de passe vous conseillez ?
KeePass, Bitwarden, 1Password.
4. Firefox propose un gestionnaire de mots de passe. Qu’en pensez-vous ?
Les navigateurs sont des cibles privilégiées par les attaquants surtout les plugins/add-ons. De ce fait, le gestionnaire de mots de passe de Firefox ne résistera pas aux attaquants. Il faut le voir comme un usage simple en prenant soin de renforcer la configuration du navigateur et du poste de travail. Privilégiez un gestionnaire dédié car plus robuste.
5. Peut-on avoir une sauvegarde locale partagée entre Smartphone et PC ?
Oui grâce au « cloud sync » ou grâce à la synchronisation du fichier .kdbx pour l’application KeePass (attention aux conflits de fichiers et au durcissement du stockage).
6. L’authentification a deux facteurs est-elle suffisante aujourd’hui ou faut-il déjà envisager d’autres méthodes ?
Le MFA « classique » (SMS, codes TOTP : Google Authenticator, etc.) améliore beaucoup, mais n’est pas « anti-phishing » par défaut. Aujourd’hui, la meilleure pratique est de viser du « phishing-résistant » en utilisant une passkeys (FIDO2/WebAuthn/Yubikey) ou clés de sécurité matérielles, surtout pour des comptes critiques.
7. Quelle est la fiabilité de Google pour stocker nos mots de passe ?
Techniquement solide, mais le point critique reste si le compte Google est compromis, le coffre l’est potentiellement aussi. Donc mot de passe unique très fort + passkey/clé de sécurité + protections anti-phishing. La même logique s’applique à Apple/Microsoft.
8 .Comment se fait-il que pour accéder à mon compte bancaire on me demande seulement un mot de passe avec des chiffres et seulement 7 ?
Si il n’y a pas une seconde authentification en plus c’est effectivement surprenant.
Souvent, ce que l’on appelle « mot de passe » est un code/PIN historique, mais l’accès réel est normalement complété par d’autres contrôles : appareil enrôlé, OTP/SCA, 3-D Secure, biométrie, scoring fraude… Si une banque permet réellement un accès sensible avec seulement 7 chiffres et sans seconde étape, c’est atypique. Il faudrait alors contacter sa banque et demander d’activer toutes les options de sécurité disponibles.
9. Lorsque l’on ouvre une session, au bout de 3 tentatives de mot de passe erroné, la session est bloquée en règle générale. Comment se fait-il que les hackeurs puissent tester des milliers de mots de passe ?
Tout simplement parce que le blocage n’est pas toujours appliqué ou contournable en utilisant de la rotation d’adresses IP (en fonction du paramétrage du mécanisme de blocage).
Alors pour le coup, le blocage d’une session après 3 tentatives n’est pas une bonne idée :
Un attaquant pourrait lancer une attaque par force brute et bloquer l’utilisation de l’application en rejouant 3 mots de passe faux en boucle. Le CAPTCHA est plus conseillé, mais là encore, c’est un jeu du chat et de la souris entre les attaquants et les défenseurs : certaines IA permettent de contourner les CAPTCHA ou bien en utilisant des réseaux de plusieurs 10 000 de machines contrôlées par le hacker qui vont chacune faire que 3 requêtes.
10. Comment sont hackés les téléphones via une Wi-Fi ou Bluetooth, faut-il émettre de la data pour la capter?
Wi-Fi : on peut être attaqué en se connectant à un faux point d’accès, via des attaques de type « man-in-the-middle » si des protections manquent, ou via vulnérabilités réseau. On émet forcément des échanges dès qu’on s’associe à un réseau.
Bluetooth : l’exposition dépend du mode et des vulnérabilités. Les attaques sont opportunistes car elles sont réalisées à proximité et certaines nécessitent une action d’appairage.
11. A quelle fréquence faut-il changer les mots de passe ?
Si le mot de passe est suffisamment robuste, avec du MFA et n’a pas été compromis : il n’y a pas de raison de le changer régulièrement. Je suis d’accord, pas besoin de le changer de façon calendaire. Mais en cas de suspicion/compromission, si le service annonce une fuite d’identifiants ou de données, et si l’utilisateur réutilise le même mot de passe ailleurs.
12. Peut-on mettre à jour un OS sans perdre certains paramètres personnels ?
Ça dépend de ce qu’on entend par paramètres personnels : la plupart des mises à jour OS ont pour but de ne pas modifier les données des utilisateurs mais vraiment mettre à jour les programmes. Il est possible qu’une mise à jour puisse provoquer des pertes, mais c’est plutôt rare : mais bien sûr ça dépend de l’OS et à quel point on maîtrise ce qui est mis à jour.
En principe non, les mises à jour sont conçues pour conserver les données et les paramètres. Il faut penser à réaliser une sauvegarde avant toute montée de version au besoin.
13. Windows 10 est devenu risqué maintenant qu’il n’y a plus de support ?
Oui. Le support Windows 10 s’est terminé le 14 octobre 2025, il n’y aura plus de correctifs de sécurité (sauf programmes de support étendu pour les sociétés qui l’ont demandé ou si en tant que particulier on s’est inscrit au service étendu de mises à jour proposé par Microsoft dans la partie Windows Update.
14. Quels sont le nom d’hébergeurs non soumis au Cloud Act américain ?
Promulgué par le président américain le 23 mars 2018, le Cloud Act donne la possibilité aux autorités américaines d’exiger des prestataires de services électroniques la divulgation de données, et ce, « whether such communication, record, or other information is located within or outside of the United States ».
C’est une question de juridiction (entreprise sous droit US) et non pas seulement de lieu d’hébergement. Donc être « hébergé en Europe » ne suffit pas si le fournisseur est soumis au droit US.
Pour réduire ce risque, il faut vérifier :
. le fournisseur et la maison-mère (juridiction),
. le chiffrement avec clés maîtrisées par l’utilisateur uniquement,
. les offres qualifiées (ex. SecNumCloud ANSSI) selon besoin.
Pour citer des alternatives françaises/européennes, il faut s’orienter vers des prestataires qualifiés/visés SecNumCloud et la liste ANSSI. Comme Oodrive, Outscale, OVHCloud, Cloud Temple et Whaller DONJON. Prochainement, peut-être, les hébergeurs suivants S3NS (Thalès & Google Cloud co-entreprise), Bleu (Capgemini & Orange) et Adista, en cours de qualification SecNumCloud.
15. La mémorisation des mots de passe proposée sur les Smartphone et PC pour faciliter les connexions est-elle recommandée ?
Oui, si c’est dans un gestionnaire sérieux, protégé par biométrie/PIN fort, et si l’appareil est chiffré et verrouillé.
Non, si c’est sur un appareil partagé/non verrouillé, ou si le compte principal (Google/Apple) est faible.
16. Quand une structure utilise des clouds (type drive d’entreprise), est-il nécessaire et possible de faire des backups ?
Oui. Le cloud n’est pas automatiquement une sauvegarde « anti-erreur/anti-rançon ». Le bon standard est de suivre cette règle 3-2-1 (3 copies, 2 supports, 1 hors ligne/immuable) et réaliser des tests de restauration.
17. Plus on multiplie les sauvegardes sur différents supports plus le risque de piratage augmente ?
Plus de copies équivaut à plus de surface d’exposition, mais on compense par du chiffrement, du contrôle d’accès, de l’immutabilité, de la segmentation, et surtout du hors-ligne/air-gap. Le bénéfice en résilience dépasse généralement le sur-risque si c’est bien gouverné/géré.
18. Le cloud est-il vraiment une sauvegarde fiable et inviolable ?
Non. C’est juste « fiable » si l’on a un contrôle d’accès fort, de la mise en place de MFA, de la journalisation, une politique de rétention, de l’immutabilité, et un plan de reprise. « Inviolable » n’existe pas.
19. Sur un site type haveibeenpwned, peut-on lancer la vérification de tout un domaine pour savoir si les e-mails d’un ou plusieurs collaborateurs ont été compromis ?
Oui, via la fonctionnalité « domain search » cependant certaines tailles de domaines nécessitent un abonnement payant.
20. Est-ce que les systèmes d’exploitation (comme Windows 10 ou 11 par exemple) qu’on achète pour quelques centimes sur Internet (sur CDiscount par exemple) sont valables ?
Ces systèmes sont souvent à risque : clés issues de filières grises, MAK/KMS détournées, revente non conforme… Il faut prioriser l’achet via les canaux officiels ou des partenaires, surtout en contexte professionnel. Il existe le site GVGMall pour l’achat de licences officielles : https://fr.gvgmall.com
21. Est-ce que si j’utilise mon compte Gmail sur mon ordinateur de bureau et que cet e-mail est compromis, est-ce que l’ordinateur de bureau est alors compromis aussi ?
Pas automatiquement. Cela dépendra seulement des accès dont disposent l’attaquant. Si ce n’est que la messagerie ça va, sauf s’il s’en sert pour réinitialiser d’autres comptes, diffuser du phising aux contacts et même installer des malwares ou des extensions malveillantes en fonction des actions de l’utilisateur.
Une fois qu’on apprend que notre adresse mail a été victime d’une fuite de données et que le numéro de compte bancaire a fuité, certes, on peut changer le mot de passe du compte mail, mais pour les données fuitées telles que le numéro de compte bancaire, on ne peut rien faire ?
On ne peut pas changer un IBAN aussi facilement qu’un mot de passe, mais on peut :
- surveiller et signaler toute fraude,
- renforcer authentification bancaire,
- demander mesures de surveillance/limitations,
- déposer signalement/plainte si usage frauduleux.
22. Pour les SMS on peut envoyer le signalement au 33700, où peut-on envoyer les signalements de mails ?
Oui grâce aux plateformes Signal Spam (signal-spam.fr) et Pharos (https://internet-signalement.gouv.fr) et il reste https://17cyber.gouv.fr.
23. Que-pensez-vous des applications (et téléphone) qui proposent le verrouillage par empreinte digitale (ou reconnaissance facial) ?
C’est plutôt recommandé au quotidien, ça réduit l’exposition d’un code « simple » et favorise le verrouillage systématique. Pourtant il faut activer un code/PIN fort en secours et éviter le déverrouillage en environnement non maîtrisé (risque de contrainte). Pour rappel, ce n’est pas un « secret » (contrairement à un mot de passe) ; c’est surtout une commodité et un frein contre les accès opportunistes.
24. On prend plus de risques de piratage en utilisant des VPN ?
Ça dépend. Un VPN sérieux réduit le risque d’écoute locale sur Wi-Fi public, mais déplace la confiance vers le fournisseur VPN. Les risques sont effectivement accrus surtout avec les VPN « gratuits » ou opaques (collecte, publicité, revente de données, pratiques douteuses). En entreprise, le risque vient plutôt de mauvaises configurations que du principe du VPN en lui-même.
25. Existe-t-il des outils pour répertorier les comptes que nous possédons ?
En utilisant un gestionnaire de mots de passe dédié ou non. Et en effectuant une recherche dans nos messageries comme en recherchant les mots clés suivants : welcome, verify, confirmation, etc.
26. Comment les hackers ciblent les personnes à pirater ?
Opportunisme à grande échelle grâce à des listes d’e-mails et du « credential stuffing » (rejeu d’identifiants volés). Ciblage contextualisé en utilisant de l’OSINT (réseaux sociaux, organigrammes), choix des personnes à privilèges (finance, RH, IT), et ingénierie sociale. En vérifiant les expositions de configuration comme l’absence de MFA, la réutilisation de mots de passe, la non mises à jour d’appareils.
27. J’utilise KeyPass. Dans quelle mesure peut-on accéder à ces données ? Lorsque le fichier est ouvert ?
Lorsque la base est fermée, le fichier .kdbx reste chiffré. Lorsque la base est ouverte, les secrets existent en mémoire, si le poste est compromis, un attaquant peut dumper la mémoire et lire ou collecter les secrets. Quelques unes des bonnes pratiques sont de mettre un mot de passe maître long, d’activer le verrouillage automatique sur un temps court et d’éviter d’ouvrir la base sur un poste non fiable.
28. Quelle est la plateforme pour vérifier l’authenticité des mails ou SMS que l’on reçoit ?
Il n’existe pas de plateforme universelle qui certifie l’authenticité d’un mail ou d’un SMS. Pour l’authenticité technique en entreprise, il faut utiliser les technologies SPF/DKIM/DMARC (mais ce n’est pas grand public).
29. Comme certains juges de la CPI ont été sanctionnés, ils n’ont plus accès à des services proposés par des outils américains. Où vont leurs mots de passe ? Sont-ils corruptibles ? Et par ailleurs, quelles alternatives européennes en cybersécurité sont disponibles ?
Quand un compte (ex. messagerie Microsoft) est suspendu suite à des sanctions, le service est coupé. Les mots de passe ne partent pas ailleurs, mais l’utilisateur perd l’accès et doit migrer vers un autre fournisseur. Le risque majeur est la continuité d’activité et la dépendance à une juridiction extraterritoriale. Corruptible, si le fournisseur est contraint légalement, la question devient juridique/contractuelle plus que technique. Concernant les alternatives européennes, utilisation d’un Cloud souverain/qualifié (prestataires qualifiés/visés SecNumCloud ANSSI) et messagerie européenne avec chiffrement et clés maîtrisées. Oodrive, Outscale, OVHCloud, Cloud Temple et Whaller DONJON. Prochainement peut-être les hébergeurs suivants S3NS (Thalès & Google Cloud co-entreprise), Bleu (Capgemini & Orange) et Adista, on peut rajouter Cegedim Cloud et Worldline Cloud Services.
30. A ce jour qui bénéficie de la longueur d’avance en sécurité informatique, les hackeurs ou les informaticiens bienveillants ?
Les attaquants ont l’avantage asymétrique (un seul point faible suffit) et industrialisent les malwares, les phishings, etc. Les défenseurs ont l’avantage de la profondeur (MFA, durcissement, EDR, sauvegardes immuables, détection), mais ça demande discipline et investissement.
31. Vous ne parlez pas de souscription à un antivirus, est-ce que c’est toujours utile d’un point de vue cyber ?
Oui, surtout sur Windows car ça bloque beaucoup de menaces opportunistes. Mais cela reste insuffisant si tout repose sur un antivirus.
32. Avec de plus en plus d’utilisateurs d’un gestionnaire de mots de passes, celui-ci ne devient-il pas une cible privilégiée des pirates ?
Oui, car forte valeur. Mais l’alternative (réutilisation de mots de passe, post-it, mêmes secrets partout) est statistiquement plus risqué.
33. Est-ce que si mon adresse Gmail est compromise et que je m’en sers depuis mon ordi pro, je mets mon organisation en danger ?
Il n’y a pas une compromission automatique du PC, mais les risques sont réels comme du phishing interne via notre identité, réinitialisation d’accès à des outils professionnel via l’e-mail, l’ouverture de pièces jointes malveillantes depuis la messagerie, etc.
34. Utiliser un bon vieux carnet papier pour noter ses mots de passe, cela est-il obsolète ?
Pour un petit nombre de secrets, stocké en lieu sûr (coffre/armoire fermée), ça peut être acceptable. Mais pas de génération aléatoire, pas de MFA, de pas rotation facile et risque de perte ou de copie.
35. Pouvez-vous rappeler le site de vérification des mots de passe récupérés à parti de l’adresse e-mail ?
Have I Been Pwned https://haveibeenpwned.com pour les e-mails et Pwned Passwords pour les mots de passe.
36. Est-il vrai que les données de Doctolib sont stockées sur les serveurs d’Amazon ?
Doctolib indique utiliser Amazon Web Services (AWS) pour l’hébergement (avec certification HDS pour les données de santé).
37. J’utilise KeepassXC, mais j’ai mis la base de données sur le Drive et j’utilise Keepassium sur mon téléphone. J’imagine que si je voulais une sécurité plus forte, il faudrait que je garde KeePassXC uniquement en local et que je n’ai pas accès à mes mots de passe sur mon téléphone ?
Oui, en termes de surface d’attaque. Moins d’appareils et pas de synchro cloud égal moins de points d’entrée.
38. Considérez-vous les protections type Bitdefender réellement efficaces ?
Oui, contre beaucoup de menaces devenues industrielles, standardisées (malwares courants, URLs malveillantes, pièces jointes). Ce qui n’est pas le cas contre les attaques ciblées.
Ce module a été rédigé par Nicolas Carpentier, pilote et analyste au sein de l'équipe de réponse aux incidents de sécurité informatique chez Advens, passionné par l'analyse forensique et la sensibilisation dans le domaine de la cyber, diplômé en Mastère spécialisé expert forensique et cyber.
