Lettre ouverte

Publiée le 24 novembre 2025 (traduit en français le 17 février 2026) Stop Hacklore! Version originale anglaise

À l’attention du public, des employeurs, des journalistes et des décideurs politiques : Nous sommes un groupe d’actuels et d’anciens responsables de la sécurité des systèmes d’information (RSSI), de responsables de la sécurité et de professionnels qui avons été témoins de la manière dont les compromissions se déroulent dans le monde réel, dans l’industrie, le milieu universitaire et le gouvernement. Nous écrivons afin de corriger une série de mythes persistants concernant les risques numériques pour les particuliers et les petites entreprises (par opposition aux personnes à haut risque) qui continuent de circuler largement en ligne et dans les rubriques de conseils publics.

Les conseils obsolètes

Plus précisément, nous souhaitons mettre fin aux conseils obsolètes suivants :

  1. Évitez le Wi-Fi public : les compromissions à grande échelle via le Wi-Fi public sont extrêmement rares aujourd’hui. Les produits modernes utilisent des technologies de cryptage pour protéger votre trafic, même sur les réseaux ouverts, et les systèmes d’exploitation et les navigateurs avertissent désormais les utilisateurs des connexions non fiables. Les services VPN personnels n’offrent que peu d’avantages supplémentaires en matière de sécurité ou de confidentialité pour la plupart des gens et ne bloquent pas les attaques les plus courantes.
  2. Ne scannez jamais les codes QR : Il n’existe aucune preuve de criminalité généralisée provenant de la lecture de codes QR elle-même. Le véritable risque réside dans les escroqueries par ingénierie sociale, qui sont atténuées par les protections existantes des navigateurs et des systèmes d’exploitation, ainsi que par la prudence dont vous faites preuve concernant les informations que vous fournissez à un site web.
  3. Ne rechargez jamais vos appareils à partir de ports USB publics : il n’existe aucun cas vérifié de « juice jacking » affectant les utilisateurs quotidiens. Les appareils modernes demandent une autorisation avant d’activer le transfert de données, sont configurés par défaut en mode de recharge restreint et authentifient les accessoires connectés.
  4. Désactivez le Bluetooth et le NFC : les exploits sans fil sont extrêmement rares et nécessitent généralement du matériel spécialisé, une proximité physique et des appareils non patchés. Les téléphones et ordinateurs portables modernes isolent ces composants et nécessitent le consentement de l’utilisateur pour le couplage.
  5. Effacez régulièrement les cookies : l’effacement (ou la suppression) des cookies n’améliore pas significativement la sécurité et n’empêche pas le suivi moderne, qui inclut désormais des identifiants et des empreintes digitales autres que les cookies.
  6. Changer régulièrement de mot de passe : changer fréquemment de mot de passe était autrefois un conseil courant, mais rien ne prouve que cela réduise la criminalité, et cela conduit souvent à des mots de passe plus faibles et à leur réutilisation sur plusieurs comptes.

Ce type de conseil part d’une bonne intention, mais il est trompeur. Il accapare le temps limité dont disposent les gens pour se protéger et détourne leur attention des mesures qui réduisent réellement la probabilité et l’impact des compromissions réelles.

Les conseils de sécurité efficaces doivent être précis, proportionnés et applicables. Dans cette optique, nous recommandons de remplacer les conseils ci-dessus par des recommandations claires et fondées sur des faits, qui aident les personnes et les organisations à gérer les risques réels tout en permettant une utilisation moderne et connectée de la technologie.

Recommandations pour le grand public

Si l’actualité regorge souvent d’attaques exotiques contre des personnes et des organisations de grande valeur, la vérité est que pour la plupart des gens, les principes de base restent les mêmes et devraient constituer le fondement de tout conseil en matière de sécurité destiné aux particuliers ou aux petites entreprises.

  1. Maintenez à jour les appareils et applications essentiels : concentrez votre attention sur les appareils et applications que vous utilisez pour accéder à des services essentiels tels que la messagerie électronique, les comptes financiers, le stockage dans le cloud et les applications liées à l’identité. Activez les mises à jour automatiques dans la mesure du possible afin que ces outils essentiels bénéficient des derniers correctifs de sécurité. Et lorsqu’un appareil ou une application n’est plus pris en charge par les mises à jour de sécurité, il vaut la peine d’envisager une mise à niveau.
  2. Activez l’authentification multifactorielle (« MFA », parfois appelée 2FA) : donnez la priorité à la protection des comptes sensibles qui ont une réelle valeur pour les acteurs malveillants, tels que les e-mails, le stockage de fichiers, les réseaux sociaux et les systèmes financiers. Dans la mesure du possible, envisagez d’utiliser des « passkeys », une nouvelle technologie de connexion intégrée aux appareils courants qui remplace les mots de passe par un cryptage résistant aux tentatives d’hameçonnage. Ainsi, même si des pirates volent un mot de passe, ils ne peuvent pas se connecter. Utilisez des codes SMS à usage unique en dernier recours si les autres méthodes ne sont pas disponibles.
  3. Utilisez des mots de passephrases forts (pas seulement des mots de passe) : les mots de passe de vos comptes importants doivent être « forts ». Un mot de passe ou une phrase de passe « fort » est long (16 caractères ou plus), unique (jamais réutilisé en aucune circonstance) et généré de manière aléatoire (ce que les humains ont beaucoup de mal à faire). L’unicité est essentielle : utiliser le même mot de passe à plusieurs endroits augmente considérablement votre risque, car une violation sur un site peut compromettre instantanément les autres. Une phrase secrète, telle qu’une courte phrase de 4 à 5 mots (les espaces sont autorisés), est un moyen facile d’obtenir une longueur suffisante. Bien sûr, il est difficile de faire cela pour de nombreux comptes, ce qui nous amène à…
  4. Utilisez un gestionnaire de mots de passe : un gestionnaire de mots de passe résout ce problème en générant des mots de passe forts, en les stockant dans un coffre-fort crypté et en les remplissant pour vous lorsque vous en avez besoin. Un gestionnaire de mots de passe n’entrera vos mots de passe que sur des sites légitimes, vous offrant ainsi une protection supplémentaire contre le phishing. Les gestionnaires de mots de passe peuvent également stocker des clés d’accès en plus des mots de passe. Pour le gestionnaire de mots de passe, utilisez une phrase de passe forte, car elle protège toutes les autres, et activez l’authentification multifactorielle (MFA).

Recommandations pour les organisations

Les organisations doivent mettre en place des systèmes qui ne tombent pas en panne de manière catastrophique lorsque des personnes commettent des erreurs, en particulier lorsqu’elles sont victimes d’acteurs malveillants. Créez des moyens clairs et simples permettant aux employés de signaler et de transmettre les activités suspectes, et prenez rapidement connaissance de ces signalements afin que les personnes se sentent soutenues et non blâmées. Si l’erreur d’un employé cause un préjudice important à l’organisation, cela signifie que la conception du système était fragile et non résiliente. Pour les administrateurs système, exigez une authentification multifactorielle résistante au phishing et engagez-vous à mettre en œuvre un plan visant à éliminer la dépendance aux mots de passe dans toute l’organisation.

Recommandations pour les fabricants de logiciels

Enfin, pour être clair, aucun logiciel ou système n’est parfaitement sécurisé. Chaque jour, de nouvelles faiblesses sont découvertes dans les appareils, les systèmes d’exploitation et les applications modernes. Mais c’est la manière dont nous traitons ces signalements qui détermine le résultat réel. La responsabilité de prévenir les dommages ne doit pas incomber au public ou aux entreprises ; il appartient aux fabricants de logiciels de corriger leur code défectueux, et non à plus d’un milliard d’utilisateurs de modifier leur comportement. Nous appelons les fabricants de logiciels à assumer la responsabilité de créer des logiciels sécurisés dès leur conception et par défaut, conçus pour être sûrs avant même d’atteindre les utilisateurs, et à publier des feuilles de route claires indiquant comment ils comptent atteindre cet objectif. Ils doivent veiller à ce que tout le trafic réseau soit protégé par des protocoles de cryptage modernes et encourager les chercheurs en sécurité indépendants par le biais de programmes de primes officiels et réactifs, comprenant des protections explicites de type « safe harbor ». Les fabricants doivent également s’engager à publier des registres CVE (catalogue public des vulnérabilités logicielles connues) complets, précis et actualisés pour tous les problèmes susceptibles de mettre les utilisateurs en danger, y compris ceux découverts en interne.

Conclusion

Nous exhortons les communicateurs et les décideurs à cesser de promouvoir les « hacklore » (conseils accrocheurs mais inexacts) et à partager plutôt des conseils qui réduisent de manière significative les dommages. Nous sommes prêts à aider les organismes publics, les employeurs et les médias à reformuler leurs conseils en matière de cybersécurité afin qu’ils soient pratiques, proportionnés et fondés sur les réalités actuelles.

Cordialement

Ben Adida, VotingWorks

Heather Adkins, VP, Cybersecurity Resilience Officer, Google

JJ Agha, CISO, FanDuel

Ian Amit, former CSO Cimpress, Rapid7. Founder & CEO Gomboc.ai

Matt Aromatorio, Head of Security, Hebbia

Scott Bachand, CISO, RO

Tod Beardsley, VP of Security Research, runZero

Andrew Becherer, CISO, Sublime Security

Geoff Belknap, Deputy CISO, Microsoft

Betsy Bevilacqua, CISO

David Bradbury, CSO, Okta

Bill Burns, former CISO and Trust Officer Informatica, former Netflix

Elie Bursztein

Jack Cable, CEO & Co-founder, Corridor

Michael Calderin, CISO

Aimee Cardwell, former CISO UnitedHealthGroup

Sean Cassidy, CISO, Asana

Jason Chan, retired - former CISO Netflix and VMware

Joanna Chen, CISO, Dashlane

Michael Coates, former CISO Twitter

Bil Corry, CISO Sardine.ai

Neil Daswani, CISO-In-Residence at Firebolt Ventures, former CISO of multiple, multi-billion-dollar public companies

Jacob DePriest, CISO/CIO 1Password

Michael Tran Duff, CISDPO, Harvard University

Curt Dukes, former NSA IA Director, and Cybersecurity Executive

Jen Easterly, former Director of CISA

Andy Ellis, former CSO, Akamai

Casey John Ellis, founder Bugcrowd and the Disclose.io project

Gary Ellison, former VP of Trust, Roku

Chris Eng, former Chief Research Officer @ Veracode

Melanie Ensign, CEO, Discernible

Josh Feinblum, former CSO DigitalOcean, Rapid7

Trey Ford, Chief Strategy & Trust Officer, Bugcrowd

Eva Galperin

Yael Grauer, Program Manager, Cybersecurity Research at Consumer Reports

Eric Grosse, former security lead for Google

Dan Guido, CEO & Co-founder, Trail of Bits

Esteban Gutierrez, CISO

Damian Hasse, CISO, Moveworks

Gary Hayslip, CISO in Residence, Halcyon.ai

Tyler Healy, CISO, DigitalOcean

Marcus Hutchins, Principal Threat Researcher, Expel

Mike Johnson, CISO

Chuck Kesler, CISO, Pendo

Aaron Kiemele, CISO, Perforce

Lea Kissner, CISO, VP Engineering, LinkedIn

David Kleidermacher, VP, Android and Made-by-Google Security & Privacy, Google

Sasha Koff, Managing Director of Cyber Readiness Institute

Tyson Kopczynski, former 2xCISO

Sara Lazarus, Founder and CISO, Faded Jeans Technology LLC

Katie Ledoux, CISO, Attentive

Nate Lee, Founder, TrustMind, 2x former CISO

Eugene Liderman, Sr. Director of Android Security & Privacy Product

Bob Lord, former CISO Yahoo, DNC

Ciaran Martin, University of Oxford & former head of the UK National Cyber Security Centre

Keith McCartney, SVP Security & IT, DNAnexus

elle mckenna, security leader

Zack Moody, CISO, KYOCERA AVX

James Nettesheim, CISO, Block

T.C. Niedzialkowski, Head of Security and IT Opendoor

Rupa Parameswaran

Helen Patton, Cybersecurity Executive Advisor

Bryan Payne

Lisa Plaggemier, Exec Dir, National Cybersecurity Alliance

Hannah Poteat, Asst. General Counsel, Privacy & Cybersecurity Law

Nils Puhlmann, former CISO Zynga and Twilio, co-founder Cloud Security Alliance

Alex Rice, Founder & CTO, HackerOne

Jason Richards, CISO

Felix Ritscher, CISO, VP of Security & Infrastructure, Supplemental Health Care

Chris Roosenraad, CSO DNC

Craig Rosen, former CISO Cisco AppDynamics and FireEye/Mandiant

Guillaume Ross, former head of security @ JupiterOne, Fleet

Marci Rozen, Senior Legal Director, ZwillGen PLLC

Larkin Ryder, former CSO at Slack, former Head of Compliance at Anthropic

Tony Sager, former NSA Executive

Shailesh Saini, Director of Android Security & Privacy Engineering

Runa Sandvik, Founder, Granitt

Bala Sathiamurthy, CISO

Cory Scott, former CISO LinkedIn, Confluent, Google Devices & Services

Andrew Shikiar, Executive Director & CEO FIDO Alliance

Alex Smolen, former Director of Security at LaunchDarkly

Matthew Southworth, CSO, Priceline.com

Alex Stamos, CSO, Corridor, former CSO of Facebook, Yahoo and SentinelOne

Andy Steingruebl, CSO, Pinterest

Joe Sullivan, CEO of Ukraine Friends and Joe Sullivan Security LLC

Parisa Tabriz, VP/GM Google Chrome

Matt Thomlinson, CTO Electronic Arts

Per Thorsheim, previously 2xCISO, founder of PasswordsCon

George Totev

Steve Tran, CISO, Iyuno

Shawn Valle, CEO Cybersecurity Growth, former CSO/CISO Rapid7, Tricentis

Alexis Wales, GitHub CISO

Jonathan Werrett, Head of Security, Semgrep

Andrew Whalley, Chrome Security

Tarah Wheeler, Chief Security Officer TPO Group

Chester Wisniewski, Director, Global Field CISO, Sophos

Dave Wong, Director, Mandiant

Josh Yavor, former CISO Tessian, Cisco Secure

Sounil Yu, former Chief Security Scientist Bank of America, Chief AI Officer Knostic

Sean Zadig, CISO, Yahoo

Stefano Zanero, Politecnico di Milano