Cybersécurité 2026 - Le guide pour ne plus se faire avoir

Korben - KorbenInfo - 05/03
Si vous pensez qu'un bon mot de passe et de la double authentification suffisent à vous protéger en 2026... c'est mort les amis ! Car les attaquants ont ...

Si vous pensez qu'un bon mot de passe et de la double authentification suffisent à vous protéger en 2026... c'est mort les amis ! Car les attaquants ont sérieusement évolué, du phishing qui bypass la 2FA en temps réel aux faux entretiens d'embauche qui plantent des malwares. Alors aujourd'hui, je vous propose de faire le tour des menaces et surtout des vrais réflexes à adopter.

Les passkeys, ou la fin du mot de passe

Le mot de passe, ça fait 20 ans qu'on en parle et c'est toujours le maillon faible. Trop court, réutilisé partout, noté sur un post-it sous le clavier... vous connaissez la chanson. Attention, même un mot de passe "complexe" de 12 caractères ne protège de rien s'il est réutilisé sur 15 sites.

Les passkeys changent enfin la donne. C'est un système d'authentification basé sur FIDO2 qui remplace complètement le mot de passe par une clé cryptographique stockée sur votre appareil.

En gros, vous déverrouillez avec votre empreinte digitale ou Face ID, et c'est réglé. Pas de mot de passe à retenir, pas de mot de passe à voler. Google, Apple et Microsoft supportent tous le standard depuis iOS 16, macOS Ventura et Windows 11, et la plupart des grands services (GitHub, PayPal, Amazon) aussi.

Le seul hic c'est que les petits sites traînent encore... mais en fait, les gros services c'est là où vous avez le plus à perdre, et eux supportent déjà les passkeys.

Pour activer les passkeys, c'est simple : allez dans les paramètres de sécurité de votre compte Google ou Apple, cherchez "Passkey" ou "Clé d'accès", et suivez les instructions. Ça prend 2 minutes et ça réduit drastiquement le risque de phishing sur ce compte. Pas mal comme ratio effort/protection.

Piège classique par contre : si vous perdez votre appareil sans avoir configuré de méthode de récupération... c'est la galère. Pensez à enregistrer vos passkeys sur au moins 2 appareils.

Vos mots de passe méritent un vrai coffre

En attendant que les passkeys soient partout, y'a encore des centaines de comptes qui tournent avec des mots de passe classiques. Et là, le gestionnaire c'est non-négociable, car un seul leak et c'est tous vos comptes qui sautent. Perso, utiliser le même mot de passe partout en 2026 c'est comme laisser sa porte grande ouverte avec un panneau "servez-vous".

Mistikee va plus loin avec un concept malin : le déni plausible. Même sous contrainte (et oui, ça arrive dans certains pays), vous pouvez fournir un mot de passe maître qui ouvre un faux coffre contenant des données bidon. Le vrai reste planqué.

C'est le principe de VeraCrypt appliqué aux mots de passe, et franchement c'est bien pensé pour les journalistes, activistes ou n'importe qui voyageant dans des zones sensibles.

Le phishing a muté, et c'est flippant

Vous pensez que la 2FA vous protège de tout ? Tycoon 2FA , démantelée par Europol, était une plateforme de phishing-as-a-service qui interceptait les codes de double authentification en temps réel.

Le principe : vous recevez un mail qui ressemble trait pour trait à celui de votre banque, vous entrez vos identifiants et votre code 2FA sur une fausse page, et le proxy de l'attaquant les rejoue instantanément sur le vrai site. Session piratée, malgré la 2FA.

La parade ? Les clés de sécurité physiques type YubiKey 5 NFC ou Google Titan, qui utilisent FIDO2/WebAuthn et résistent au phishing par design. Aucun proxy ne peut intercepter une authentification matérielle. C'est plus contraignant qu'un code SMS, d'accord, mais c'est la seule méthode vraiment solide contre ce type d'attaque.

Attention, ça ne marche pas avec tous les services, vérifiez sur dongleauth.com avant d'acheter. Comptez une trentaine d'euros pour une YubiKey, c'est pas la mer à boire vu le niveau de protection.

Votre WiFi n'est pas un coffre-fort

L'isolation client, vous connaissez ? C'est le mécanisme sur les bornes WiFi 802.11 qui empêche les appareils connectés au même réseau de se voir entre eux. Ça sonne rassurant. Sauf que AirSnitch a prouvé qu'on peut la contourner, y compris sur du matériel professionnel type Cisco ou Ubiquiti.

Du coup, se connecter au WiFi d'un hôtel ou d'un café en comptant sur l'isolation pour vous protéger... c'est optimiste. La technique utilisée par AirSnitch exploite des failles au niveau ARP pour communiquer entre clients supposément isolés. Concrètement, un attaquant sur le même réseau peut sniffer votre trafic non chiffré.

La vraie solution : un VPN quand vous êtes sur un réseau public (et pas un VPN gratuit qui revend vos données, hein). Ou alors le bon vieux partage de connexion 4G/5G depuis votre téléphone. Moins glamour, nettement plus sûr. Parce que bon, entre un VPN à 3€/mois et se faire sniffer ses identifiants, le calcul est vite fait. D'ailleurs, pensez aussi à désactiver la connexion automatique aux réseaux WiFi connus sur vos appareils, ça évite de se retrouver connecté à un faux hotspot du même nom.

Les faux entretiens qui plantent des malwares

Bon, celle-là elle est vicieuse. Des groupes d'attaquants (liés à la Corée du Nord d'après les chercheurs) montent de fausses offres d'emploi pour développeurs, font passer des entretiens techniques sur Zoom, puis demandent de cloner un repo GitHub pour un "test technique". Sauf que le repo contient un malware planqué dans les dépendances npm. Plusieurs développeurs Next.js se sont fait piéger .

Le pattern est redoutable parce qu'il exploite la confiance : vous êtes en plein process de recrutement, vous avez envie de bien faire, du coup vous exécutez le code sans trop regarder. Le malware peut voler vos clés SSH dans ~/.ssh, vos tokens API, vos cookies de session Chrome/Firefox... bref, tout ce qu'un dev a de précieux sur sa machine.

La parade c'est de la discipline : TOUJOURS lancer du code inconnu dans une VM (VirtualBox, UTM sur Mac). Vérifiez le profil LinkedIn du recruteur (ancienneté, connexions, posts). Et si un "recruteur" vous demande de npm install un projet avant même un premier call vidéo... méfiance.

La checklist de survie

Bon, ça fait un paquet de menaces tout ça. Mais les parades sont connues :

  • Passkeys partout où c'est disponible (Google, Apple, Microsoft, GitHub...)
  • Gestionnaire de mots de passe dédié pour le reste (pas celui du navigateur)
  • Clé de sécurité physique FIDO2 pour les comptes critiques (email, banque, cloud)
  • VPN sérieux sur les réseaux publics
  • VM pour tout code source inconnu (pas Docker, c'est pas un sandbox)
  • Vérification systématique des URLs avant de taper quoi que ce soit
  • Connexion WiFi automatique désactivée sur vos appareils

Ça fait beaucoup ? Pfff, pas tant que ça en fait. La plupart de ces trucs se configurent une seule fois sur votre iPhone, Android ou PC et après c'est transparent. Le plus dur c'est finalement de changer ses habitudes, pas de configurer les outils.

Et vous, c'est quoi votre setup sécurité au quotidien ?

Loading...