Avatar de Thomas Bnt Thomas Bnt @thomasbnt
retour
Téléphone volé, votre vrai cauchemar commence après

Téléphone volé, votre vrai cauchemar commence après

Publié le

Mise en situation

Imaginez-vous, vous sortez un soir, tout se passe bien. Vous marchez dans la rue à contempler l’architecture d’une nouvelle ville. Puis, sans que vous ne le voyiez venir, une silhouette se rapproche dans votre dos. Un geste rapide, presque furtif, et avant même que vous ne réalisiez ce qui se passe, votre téléphone n’est plus dans votre poche. 😬

Vous paniquez, cherchez à repérer le voleur dans la foule, mais sans succès.

Le stress monte d’un coup. Vous êtes dans un endroit que vous ne connaissez pas, sans téléphone pour vous repérer, sans aucune idée de comment rentrer.

Et au-delà de l’appareil lui-même, c’est tout ce qu’il contenait qui vous traverse l’esprit : vos photos, vos messages, vos accès aux comptes, toutes vos données personnelles, entre les mains de quelqu’un d’autre.

Une personne tenant un téléphone dans la rue Photo de Panha Kang sur Unsplash

Il faut aussi penser au dépôt de plainte. Vous devez vous rendre au commissariat le plus proche, raconter les faits, donner l’heure, le lieu, la description, le modèle du téléphone, parfois sans même savoir précisément où vous êtes. Ce n’est pas juste désagréable, ça vient s’ajouter à une situation déjà bien assez stressante.

Vous rentrez enfin chez vous. Et là, heureusement que vous avez un PC connecté à votre portée de main : vous verrouillez votre téléphone à distance, et le voleur ne peut plus rien y faire.

J’ai bien dit votre PC connecté. Imaginez maintenant l’inverse : ce PC n’est pas connecté, et il ne vous reste qu’un vieux téléphone oublié au fond d’un placard pour essayer de vous reconnecter à votre compte Google, Proton, et j’en passe.

C’est là que le vrai problème apparaît : ce n’est pas le vol du smartphone en lui-même qui pose souci. C’est que ce smartphone est aussi votre passe-partout, votre identité de connexion.

Si vous mettez le même mot de passe partout, ou si vous ne dépassez pas le stade d’un mot de passe tout simple niveau sécurité, vous n’allez sans doute pas vous reconnaître dans tout ça. Mais restez, la suite vous concerne quand même.

Si vous avez donc activé la double authentification sur votre smartphone volé, à travers une clé, une application 2FA comme Proton Authenticator, Aegis, Google Authenticator… ou votre numéro de téléphone enregistré pour recevoir un code à 6 chiffres, c’est le mur face à vous. Vous ne pouvez plus vous connecter à votre/vos compte(s).

La bonne nouvelle, c’est que ce mur, vous pouvez le préparer à l’avance. Voici les trois filets de sécurité que je vous conseille de mettre en place, maintenant, pas le jour où ça vous arrive.

La double sécurité, l’avantage qu’on oublie trop souvent

La double authentification protège contre le vol de mot de passe. Mais elle a un angle mort qu’on ignore trop souvent : si elle repose entièrement sur un seul appareil, votre téléphone, alors ce téléphone devient votre unique point de défaillance.

Et c’est là le vrai message de cet article :

Si vous n’avez que votre téléphone comme moyen d’authentification, alors c’est vous la faille.

Pas votre mot de passe. Pas le service que vous utilisez. Vous, et le choix d’avoir tout misé sur un seul appareil.

L’idée, c’est de répartir vos moyens de preuve d’identité sur au moins deux appareils différents, pas deux fois le même type. Concrètement, ça peut être une combinaison parmi :

  • Un ordinateur (session déjà connectée, ou clé d’accès enregistrée)
  • Une clé physique de sécurité (YubiKeyFavicon de yubico.com ou équivalent)
  • Un numéro de téléphone (par SMS, en dernier recours uniquement)
  • Une authentification sans mot de passe / biométrie (passkey, empreinte digitale)
  • Une application 2FA (AegisFavicon de getaegis.app, Proton AuthenticatorFavicon de proton.me, Google Authenticator…)
  • Une lettre scellée avec vos mots de passe ou codes de secours, en notant la date, leur durée de validité si elle existe, le lien et le nom du site concerné

L’avantage, c’est que la perte d’un seul de ces appareils ne vous bloque jamais. Si votre téléphone disparaît, votre ordinateur ou votre clé physique prend le relais. C’est le même principe que le compte de secours du chapitre suivant, mais appliqué à chaque appareil de la chaîne, pas seulement au compte.

Les codes de secours (backup codes)

La plupart des services sérieux (Google, Proton, GitHub, votre gestionnaire de mots de passe…) génèrent une liste de codes de secours à usage unique quand vous activez la double authentification. C’est souvent caché dans les paramètres de sécurité, et c’est souvent ignoré. 🙈

Ces codes vous permettent de vous connecter une seule fois, sans votre téléphone, sans votre clé, sans rien d’autre. Le hic, c’est qu’il faut les avoir sous la main au moment où vous en avez besoin, donc pas dans un fichier texte sur le bureau de l’ordinateur que vous n’avez pas avec vous.

Ce que je fais : je les imprime, ou je les note à la main, et je les range dans un endroit physique sûr (pas dans mon portefeuille, à côté du téléphone qui vient justement de se faire voler). Un coffre, un tiroir chez un proche, ce que vous voulez, mais pas avec vous au quotidien.

Une clé de sécurité physique (FIDO2 / YubiKey)

Si vous voulez aller plus loin que les simples codes, une clé de sécurité physique (YubiKeyFavicon de yubico.com, ou équivalent compatible FIDO2/U2F) est une excellente seconde clé. Le principe : vous en achetez deux, vous en enregistrez une que vous gardez sur vous, vous laissez l’autre planquée chez vous ou chez quelqu’un de confiance.

Si la première disparaît avec votre téléphone, ou même seule, la deuxième vous permet de continuer à vous connecter normalement, et surtout de révoquer l’accès à celle qui a été volée.

C’est un petit investissement, mais c’est largement le plus solide des trois filets, parce que contrairement aux codes papier, on ne peut pas vous la voler en même temps que votre téléphone.

Une clé de sécurité physique YubiKey

Un compte ou contact de confiance

Certains services proposent un système de contact de confiance ou de récupération de compte (Google a son contact de confianceFavicon de support.google.com, Apple a son contact de récupérationFavicon de support.apple.com, Proton a sa procédure dédiéeFavicon de proton.me). Le principe est simple : une personne que vous désignez peut vous aider à prouver que c’est bien vous, même sans accès à votre 2FA.

Ce n’est pas magique, ça prend parfois plusieurs jours de vérification, mais ça reste une porte de sortie quand les deux solutions précédentes n’ont pas été préparées à temps.

Capture d'écran d'un téléphone montrant une interface de récupération de compte Photo de Ed Hardie sur Unsplash

Et si ça vous arrive sans rien de tout ça

Si vous n’avez rien préparé et que ça vous arrive, ne paniquez pas, mais soyez méthodique :

  1. Verrouillez et localisez votre téléphone à distance dès que possible, depuis n’importe quel appareil connecté à votre compte.
  2. Lancez les procédures de récupération de compte de chaque service, une par une, même si elles sont longues.
  3. Changez vos mots de passe principaux depuis un appareil sain, en commençant par votre messagerie principale, c’est souvent la clé de tout le reste.
  4. Désactivez ou révoquez les anciennes méthodes 2FA liées au téléphone volé, dès que vous avez de nouveau accès.

Petite checklist à faire maintenant, pas demain

  • Générer et imprimer ses codes de secours pour ses comptes principaux
  • Enregistrer une seconde méthode 2FA (clé physique ou autre appareil)
  • Configurer un contact ou une procédure de récupération
  • Vérifier que sa messagerie principale a, elle aussi, ces trois filets

Le vol de téléphone, on ne le contrôle pas. Mais l’accès à votre identité numérique, si. 💪

Partager sur
Partager sur Bluesky Partager sur Mastodon Partager sur Twitter / X Partager sur Reddit Partager par email
Article Suivant
Les acronymes et le jargon dans le dev et l'open source