Configuration de Firefox et de ses extensions

Voici quelques étapes que je mets en place après avoir installé Firefox pour le rendre plus sécurisé et plus pratique.

Firefox

Quelques paramétrages élémentaires dans « about:preferences » (ou « Options ») :

  • Recherche > Moteur de recherche par défaut : sélectionner DuckDuckGo
  • Vie privée et sécurité > Formulaires et mots de passe : utiliser un mot de passe principal
  • Vie privée et sécurité > Cookies et données de sites : Accepter les cookies et les données de sites : jusqu’à : leur expiration
  • Vie privée et sécurité > Cookies et données de sites : Accepter les cookies et les données de sites tiers : Jamais
  • Compte Firefox > Se connecter pour synchroniser

Un peu de paramétrage plus fin dans « about:config » (possible aussi en utilisant le fichier user.js) :

Extensions

Sécurité et vie privée

HTTPS Everywhere

Force l’utilisation du protocole https dans les sites qui le rendent disponible mais sont mal configurés / conçus :

(suite…)

Quelques conseils de sécurité informatique à l’attention Madame et Monsieur Tout-le-monde

C’est au détour d’une discussion que j’apprends qu’une de mes relations s’est fait pirater sa carte bleue… pour la seconde fois… puis son mail… puis un nouveau mail tout juste créé… puis un autre compte…

Lors de la discussion je lui pose quelques questions innocentes sur sa façon de procéder, ses habitudes…

Bref, petit à petit j’en viens à comprendre que son téléphone (synchronisé avec sa tablette) est infecté et qu’un méchant pirate récupère ses données régulièrement… Donc qu’elle a beau créer une nouvelle adresse mail, elle est déjà morte avant même de fonctionner.

Je tombe à nouveau sur le schéma très courant d’un utilisateur qui ne connait pas l’informatique, accorde trop de confiance en des systèmes qu’il ne maitrise pas, est convaincu qu’un Mac ne risque rien, et utilise Facebook et WhatsApp parce que c’est pratique et que de toute façon il n’a rien a cacher… Sauf le jour on il se fait pirater, et qui là est totalement démuni !

C’est une discussion que j’ai chaque année avec mes étudiants en début de cycle. Et lors de cette discussion je peux observer plusieurs attitudes :

  • cause toujours, de toute façon le prof est un vieux con qui raconte que des conneries ;
  • n’importe quoi, ce prof est un vieux con parano ;
  • ou « Meeeeeerde… !#$!» avec la mine déconfite du gars qui comprend qu’il fait n’importe quoi.

La bête question à main levée pour savoir combien des étudiants utilisent moins de 3 mots de passe est toujours très représentative…

Voici donc un petit doc que j’ai écrit à l’attention de la personne concernée pour lui suggérer de prendre de bonnes habitudes.

(suite…)

Par Éric, il y a

Campagne de phishing OVH

Je reçois pas mal de mal de la part (soit disant) d’OVH. C’est évidement une tentative de phishing, il suffit de lire le lien pour comprendre… et il reste encore quelques fautes d’orthographe. Ils ont tout de même utilisé comme URL dans certains cas : 0vh.com, (zéro V H) qui Lire la suite…

Par Éric, il y a

Hack Academy

Je viens de découvrir un site développé par le Cigref qui tente d’expliquer simplement (et avec humour) 4 techniques de piratages : Hack Academy. Ça n’apportera rien aux gros barbus, mais je trouve ça relativement clair pour les plus novices… Le teaser sur Viméo : Et le site ou toutes Lire la suite…

Mon petit VPS : sécuriser Owncloud par un accès en HTTPS

Un accès sur Owncloud avec une connexion http est plutôt risquée (interception des données possibles), il est donc préférable d’y accéder en HTTPS.

Quel choix ai-je ?

  • Créer une connexion chiffrée avec un certificat privé, mais il y aura des alertes (facilement compréhensibles pour les pas trop néophytes, mais déstabilisantes pour les non initiés) et des importations à faire manuellement sur les tablettes ou smartphones…
  • Acheter un certificat auprès d’une autorité reconnue… on commence en gros à 50€ HT / an.
  • Attendre que Let’s Encrypt avance sur son projet… Et j’attends !
  • Profiter de l’offre de StartSSL qui propose un certificat gratuit pour son domaine.

Je précise que la qualité de la « sureté » de la connexion n’est pas dépendante du fait d’acheter cher ou non le certificat… La preuve ?

2015-09-11_14-33-54

 2015-09-11_14-37-38

Mais on ne protège pas le même type de contenu…

(suite…)

Mon petit VPS : sécuriser l’accès root

Root est un utilisateur qui a tous les droits sur le serveur… il faut donc le sécuriser au max !

Changer le mot de passe root

Il me semble impératif de changer le mot de passe root donné par OVH et qui est plutôt petit… (petit rappel pour les mots de passes).

passwd

Puis entre le nouveau de mot de passe (rien ne s’écrit, c’est normal) et le confirmer.

Empêcher root de se connecter

Si je tente de rentrer dans un système, je vais utiliser les comptes par défaut… sous linux, le super administrateur s’appelle root… On va faire en sorte qu’un seul autre utilisateur puisse se connecter, et empêcher root de se connecter.

(suite…)

Les mots de passe

Un mot de passe doit être compliqué

Mais ça veut dire quoi compliqué ?

Est-ce que l33t$pe4k est plus compliqué que ChevalPoneyÉcureuil ? ou encore que : Ilétaitunefois_unefillederoi_aucoeurpleindetristesse ? En tout cas, il y en a qui sont plus facile à retenir !

(suite…)

Faut-il stocker mes mots de passe dans mon navigateur ?

C’est très confortable, mais est-ce sécure ?

Je dirais tout simplement : ça dépend de votre navigateur !

Si vous êtes malin, vous devriez avoir une quantité non négligeable de mots de passe plutôt incompréhensibles (sinon, vous avez tout faut… j’y reviendrais dans un autre article), et vous ne pouvez pas tous les retenir. Personnellement, j’utilise keepass pour les retenir à ma place, mais là n’est pas le propos.

Considérez la chose suivante : si une personne peut physiquement avoir accès à votre ordinateur, il faut quelques secondes pour récupérer tous les mots de passes stockés dans les navigateurs. Notez que quand je parle de collecter les mots de passe en ayant accès à l’ordinateur, je suppose une clé USB qui collecte les mots de passe de tous les utilisateurs, même si l’utilisateur n’est pas connecté…

C’est évidement plus dur à distance si vous êtes la seule personne capable d’accéder au micro, mais pas impossible.

Le but est donc de compliquer cette opération.

(suite…)

Par Éric, il y a