Sommaire

• Petit résumé de sécurité informatique
• 12 idées fausses sur la sécurité
• Les acteurs
• Les menaces
• Les techniques d’attaque
• Les bonnes pratiques
• Avec Windows
• Avec Linux & Mac
• Sur Internet
• Avec le courrier électronique
• En voyage

A la lecture des pages précédentes on comprend qu’il vaut mieux prendre la sécurité de son petit ordinateur au sérieux, que ce soit effectivement un ordinateur, un smartphone ou tout objet connecté.

De toutes les techniques d’attaques décrites, il découle un certain nombre de précautions qui rendront la vie impossible aux pirates dans la majorité des cas, ce sont :

LES BONNES PRATIQUES

Avec Windows

Règles indispensables :

• Activer les mises à jour automatique de sécurité avec Windows Update. Bien entendu si vous êtes de ceux qui ont une version non enregistrée de Windows, à la première tentative de mise à jour “çà va coincer”…
• Créer un utilisateur standard (et option données privées) et non pas administrateur. Le compte administrateur étant strictement réservé aux opérations de maintenance. Bien sûr cela est plus contraignant, c’est le prix de la protection…
• Activer le firewall de Windows.
• Installez un antivirus ainsi qu’un antispyware. Maintenez les régulièrement à jour, surtout leur base de données de signatures des virus (des idées ici).
• Séparer les données utilisateurs des données systèmes.
• Effectuer des sauvegardes régulières.
• Pour une connexion WiFi maison, choisir WPA2 – Entreprise (il faut un serveur RADIUS. Certains NAS proposent ce service) ou a défaut WPA2 / AES. Dans ce dernier cas, choisir une clé WPA2 d’une longueur d’au moins 12 caractères.
• Désactivez l’ouverture automatique lors du branchement des clés USB inconnues. Lors de leur connexion, analysez les avec un antivirus puis un antispyware.

Règles de confidentialité :

• Utiliser des mots de passe compliqués (avec caractères spéciaux).
• Chiffrer ses données. En cas de vol il sera impossible de lire les données du disque dur sans connaître le mot de passe. Inconvénient : le démarrage de l’ordinateur prend plus de temps. Précaution : sauvegarder la totalité du disque dur avant d’installer le logiciel de chiffrement.

• Faites attention aux médias externes (clés USB, disque dur externes,etc…) contenant des données confidentielles car ils sont plus facile à copier ou à voler.

Autres règles :

• Mettre à jour vos applications.
• Préférer les logiciels libres (formats ouverts, indépendance et pérennité des données, moins de publicité, etc…).

Avec Linux & Mac

Règles indispensables :

• Activer les mises à jour automatiques de sécurité et d’applications.
• Activer le firewall Linux ou Mac déjà installé. Paramétrez le.
• Créer un compte utilisateur pour travailler (Mac ou Linux. Le compte administrateur étant strictement réservé aux opérations de maintenance.
• Effectuer des sauvegardes régulières. Sur Mac, Time Machine est incorporé à l’O.S. et assure les sauvegardes sur différents médias externes à l’ordinateur.
• Pour une connexion WiFi maison, choisir WPA2 – Entreprise (il faut un serveur RADIUS. Certains NAS proposent ce service) ou a défaut WPA2 / AES.
• Installer un antivirus (ClamXav , Avira ou Avast pour Mac, des idées pour Linux ici).
• Lors du branchement d’une clé USB, commencez par l’analyser avec votre antivirus puis un antispyware.

Règles de confidentialité :

• Utiliser un mot de passe compliqué.
• Utiliser l’option de chiffrage du disque lors de l’installation du système (Mac ou Linux). En cas de vol il sera impossible de lire les données du disque dur sans connaître le mot de passe. Inconvénient : le démarrage de l’ordinateur prend plus de temps. Précaution : sauvegarder la totalité du disque dur avant d’installer le logiciel de chiffrement.
• Chiffrer ses données sur les supports amovibles (en cas de perte ou de vol).

• Faites attention aux médias externes (clées USB, disque dur externes,etc…) contenant des données confidentielles car ils sont plus facile à copier ou à voler.

Sur internet

• Ne donnez pas d’informations personnelles, ce que vous publiez sur Internet est quasi- éternel et votre identité n’est jamais réellement secrète.
• Ne donnez jamais vos mots de passe.
• Lors d’utilisation de PC partagés, une fois la navigation terminée, effacer les données du cache internet.
• Apprenez à reconnaître un site fiable à son adresse (URL). Si elle contient une faute d’orthographe ou des chiffres, il se pourrait que ce soit un site de phishing/hameçonnage qui cherche à vous subtiliser des informations confidentielles.
• Apprenez à reconnaitre les extensions de fichiers potentiellement dangereux (.exe, .pif, .scr, .bat, .dll, …). Dans le doute ne cliquez jamais dessus ou supprimez le fichier.
• N’inscrivez votre numéro de carte bleue que sur des sites réputés et quand le cadenas en bas à droite de votre écran est fermé (internet explorer) indiquant un site sécurisé avec le protocole https. Sur Safari, la barre d’adresse indique que le certificat https est reconnu en affichant une petite icône du site avec un cadenas. Chaque navigateur a sa façon d’indiquer cet état.

Lors des achats en ligne :

• Avoir sa carte bancaire à portée de main.
• Ne pas stocker son numéro de carte bancaire dans son ordinateur ni envoyer ses informations confidentielles dans un simple mail.
• Ne jamais prêter sa carte bancaire.
• Bien choisir son commerçant en s’assurant, par exemple, de ses coordonnées (adresse, numéro de téléphone, contact avec le service client). Préférer un commerçant ou une Sté dont le siège social réside en France.
• S’assurer du sérieux du site en lisant les conditions générales de vente.
• Vérifier la sécurisation du site (cadenas fermé en bas de l’écran, adresse internet du site commençant par HTTPS, routage vers le site d’une banque lors du paiement).
• Fournir ses coordonnées bancaires au moment du paiement.
• S’assurer que sa commande a bien été enregistrée en gardant le mail envoyé par le site pour valider la réception de la commande ou en notant les références.
• Contacter le commerçant si nécessaire.
• Vérifier attentivement ses relevés bancaires afin de signaler toute anomalie.

Avec le courrier électronique

• N’ayez pas une confiance aveugle dans le nom de l’expéditeur. N’importe qui peut vous envoyer un courriel en se faisant passer pour un autre ! Cela n’est pas beaucoup plus compliqué que de mettre un faux nom d’expéditeur au verso d’une enveloppe.
  Soyez donc attentif à tout indice mettant en doute l’origine réelle du courriel, notamment si le message comporte une pièce jointe ou des liens : incohérence de forme ou de fond entre le message reçu et ceux que votre interlocuteur légitime vous envoie d’habitude, par exemple. En cas de doute, contactez votre interlocuteur pour vérifier qu’il est à l’origine du message.
  Et même si l’expéditeur est le bon, il a pu, à son insu, vous envoyer un message infecté. Vous devez admettre que dans le domaine de la messagerie électronique, il n’existe pas d’expéditeur a priori de confiance.

• Méfiez vous des pièces jointes.
  Elles peuvent contenir des virus ou des espiogiciels.
  Assurez vous régulièrement que votre anti-virus est activé et à jour.
  Si votre poste a un comportement anormal (lenteur, écran blanc sporadique, etc.), faites-le contrôler.

• Ne répondez jamais à une demande d’informations confidentielles
  Les demandes d’informations confidentielles, lorsqu’elles sont légitimes, ne sont jamais faites par courriel (mots de passe, code PIN, coordonnées bancaires, etc.). En cas de doute, là encore, demandez à votre correspondant légitime de confirmer sa demande. Car vous pouvez être victime d’une tentative de filoutage, ou phishing. Il s’agit d’une technique utilisée par des personnes malveillantes, usurpant généralement l’identité d’un tiers ou simulant un site dans lesquels vous avez a priori confiance (une banque, un site de commerce, etc.) dans le but d’obtenir des informations confidentielles, puis de s’en servir. Les messages du type chaîne de lettres, porte-bonheur ou pyramide financière, appel à solidarité, alerte virale, ou autres, peuvent cacher une tentative d’escroquerie. Évitez de les relayer, même si vous connaissez l’expéditeur (qui peut être qu’un intermédiaire crédule). Consulter la fiche “les canulars par messagerie”.

• Passez (passer n’est pas cliquer !) votre souris au dessus des liens, faites attention aux caractères accentués dans le texte ainsi qu’à la qualité du français dans le texte ou de la langue pratiquée par votre interlocuteur. En passant la souris au-dessus du lien proposé, vous pouvez repérer s’il pointe bien vers l’adresse du site annoncé dans le message. Si l’adresse est différente, soyez méfiant, et évitez de cliquer sur le lien. De manière générale, il est préférable de saisir manuellement l’adresse dans le navigateur.
  Dans la plupart des tentatives de filoutage, notamment lorsqu’elles viennent de l’étranger et que le texte a été traduit par un logiciel, l’orthographe et la tournure des phrases sont d’un niveau très moyen, et les caractères accentués peuvent être mal retranscrits. Toutefois, on constate qu’un nombre croissant de tentatives de filoutage emploient un français correct. Soyez donc le plus vigilant possible lors de la réception de tels messages.

• Paramétrez correctement votre logiciel de messagerie :
  – Mettez à jour vos logiciels, si possible en activant la procédure de mise à jour automatique ;
  – Paramétrez votre logiciel de messagerie pour désactiver la prévisualisation automatique des courriels ;
  – Dans les paramètres de sécurité en options, interdisez l’exécution automatique des ActiveX et des plugins et les téléchargements, soit en les désactivant, soit en imposant de vous en demander l’autorisation ;
  – dans un environnement sensible, lisez tous les messages au format texte brut.

En voyage

Les quelques règles ci-dessous complètent les recommandations ci-dessus, elle ne les remplacent pas.

Règles de base :

• Prenez connaissance de la législation locale.
• Sauvegardez auparavant les données que vous emporterez.
• Evitez de partir avec vos données sensibles. Sauvegardez les avant le départ sur un support externe (disque dur amovible, CD, cloud, etc.).
• Si une connexion WiFi est indispensable durant le voyage, utilisez un VPN pour la durée du voyage. Choisissez de préférence un VPN dont les serveurs sont localisés en France (p.ex.: VPN Facile). Ainsi la connexion WiFi utilisée ne peut pas être scrutée par un pirate (vous ne savez pas qui est connecté à la même borne WiFi que vous ni comment elle est paramétrée ni même si c’est une borne WiFi mise en oeuvre par un pirate).

Pendant le voyage :

• Gardez vos appareils, supports et fichiers avec vous. Ne les laissez pas dans un café ou dans la chambre d’hôtel. Utilisez un coffre si l’hôtel en est équipé.
• Utilisez un logiciel de chiffrement (Veracrypt) pour les données sensibles que vous êtes obligé d’emmener avec vous.
• Ne communiquez pas d’information confidentielle en clair sur votre téléphone mobile ou tout autre moyen de transmission de la voix.
• Pensez à effacer lʼhistorique de vos appels et de vos navigations (données en mémoire cache, cookies, mot de passe dʼaccès aux sites web et fichiers temporaires).
• En cas dʼinspection ou de saisie par les autorités, informez votre ambassade, fournissez les mots de passe et clés de chiffrement, si vous y êtes contraint par les autorités locales.
• En cas de perte ou de vol d’un équipement ou d’informations, demandez conseil au consulat avant toute démarche auprès des autorités locales.
• N’utilisez pas les équipements qui vous sont offerts avant de les avoir fait vérifier par un organisme de confiance. Ils peuvent contenir des logiciels malveillants (ordinateurs en libre service dans les hôtels…).
• Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance.
• Attention aux échanges de documents (par exemple : par clé USB lors de présentations commerciales ou lors de colloques). Emportez une clé destinée à ces échanges et effacez les fichiers ensuite. Dans le maximum de cas privilégiez les échanges par e-mail, c’est pas parfait mais c’est plus sûr… (si votre antivirus est à jour et scanner votre courrier automatiquement).

Avant votre retour de voyage : 

• Transférez vos données sur le réseau de votre organisme (serveur perso, cloud, etc.) avec une connexion sécurisée. Puis effacez les ensuite de votre machine.
• Effacez votre historique de vos appels et de vos navigations.

Après le voyage :

• Changez les mots de passe que vous avez utilisés pendant votre voyage.
• Analysez vos équipements.
• Ne connectez pas les appareils à votre réseau avant d’avoir fait au minimum un test anti-virus et anti-espiogiciels.

Voilà ! J’en ai fini avec tous ces conseils. Madame Michu peut souffler : j’ai fini de l’assommer avec mes termes barbares. Mais elle peut dormir tranquille, son ordinateur commence déjà à exaspérer le hacker boutonneux du sixième…  😉

Se tenir informé

Vous pouvez consulter le site gouvernemental du Portail de la Sécurité informatique : http://www.securite-informatique.gouv.fr

Les logiciels utiles

• FileZilla : logiciel gratuit de transfert de fichier (FTP, SFTP, SSH, etc…).
• Veracrypt : logiciel de chiffrage gratuit pour Windows et Linux et Mac.
• OpenVPN : client VPN gratuit pour Windows et Linux.
• Tunnelblick : client VPN pour Mac OSX.
• Thunderbird : client de messagerie très simple et qui filtre bien le spam.
• Firefox pour surfer sur le web : sur, pratique, rapide.
• OpenOffice pour la bureautique : simple, compatible avec tous les systèmes et totalement gratuit (et légal).

Pour ceux qui souhaitent aller plus loin, je leur recommande la lecture du site suivant : http://www.securite-informatique.gouv.fr, ce sont des gens sérieux 😉

Sommaire
Précédent : Les techniques d’attaque