C’est au détour d’une discussion que j’apprends qu’une de mes relations s’est fait pirater sa carte bleue… pour la seconde fois… puis son mail… puis un nouveau mail tout juste créé… puis un autre compte…

Lors de la discussion je lui pose quelques questions innocentes sur sa façon de procéder, ses habitudes…

Bref, petit à petit j’en viens à comprendre que son téléphone (synchronisé avec sa tablette) est infecté et qu’un méchant pirate récupère ses données régulièrement… Donc qu’elle a beau créer une nouvelle adresse mail, elle est déjà morte avant même de fonctionner.

Je tombe à nouveau sur le schéma très courant d’un utilisateur qui ne connait pas l’informatique, accorde trop de confiance en des systèmes qu’il ne maitrise pas, est convaincu qu’un Mac ne risque rien, et utilise Facebook et WhatsApp parce que c’est pratique et que de toute façon il n’a rien a cacher… Sauf le jour on il se fait pirater, et qui là est totalement démuni !

C’est une discussion que j’ai chaque année avec mes étudiants en début de cycle. Et lors de cette discussion je peux observer plusieurs attitudes :

  • cause toujours, de toute façon le prof est un vieux con qui raconte que des conneries ;
  • n’importe quoi, ce prof est un vieux con parano ;
  • ou « Meeeeeerde… !#$!» avec la mine déconfite du gars qui comprend qu’il fait n’importe quoi.

La bête question à main levée pour savoir combien des étudiants utilisent moins de 3 mots de passe est toujours très représentative…

Voici donc un petit doc que j’ai écrit à l’attention de la personne concernée pour lui suggérer de prendre de bonnes habitudes.


Quelques conseils

Soyons honnêtes : vous ne pourrez pas résister à une attaque informatique ciblée ayant de gros moyens.

Mais :

  • vous pouvez fortement réduire les attaques opportunistes ;
  • vous pouvez compliquer la vie des pirates, les retarder et du coup les inciter à passer à quelqu’un d’autre.

En gros, il existe 3 points sur lesquels agir :

  • limiter la surface d’attaque ;
  • retarder la réussite de l’attaque ;
  • réduire les conséquences d’une attaque.

Je me permet quelques simplifications de langages, quelques simplifications techniques, car je ne m’adresse pas à des super techniciens qui savent déjà tout ça (et bien plus).

Les conseils donnés ci après sont issus d’une relative connaissance des failles et de leur exploitation : si on sait comment les pirates attaquent, on sait comment tenter de s’en prémunir. Ils réussissent surtout grâce à la méconnaissance des utilisateurs, ou à l’arrogance des constructeurs et des marques.

Ce sont simplement des conseils à mettre en place pour retarder les attaques déjà connues et déjà exploitées à grande échelle : ça existe déjà, ça n’est pas de la science fiction.

Je considère que tout est « informatique » : l’ordinateur bien sûr, mais aussi le smartphone, la tablette, la montre connectée, la télévision connectée, la caméra de vidéo surveillance, les enceintes soit disant intelligentes, le thermostat connecté, la poupée connectée, l’aspirateur connecté… bref, tout ce qui est communicant.

Je suis peut être un peu parano vu de l’extérieur… ou vous êtes peut être un peu trop optimiste / naïf, à vous de voir.

Enfin, je parle sécurité plus que de vie privée dans ce post. C’est un autre débat, très intéressant cependant.

Comportement

L’attitude que vous avez et les choix que vous faites impactent grandement sur votre sécurité et celle des autres : c’est le maillon faible !

  • Ne piratez pas : entre les sites consultés et les fichiers téléchargés, c’est une mine de virus et tout genre.
  • Ne consultez pas de sites malveillants, piratage, porno… pour les mêmes raisons, et c’est tellement simple…
  • Téléchargez les logiciels sur les sites de l’éditeur. Éviter les sites du genre « telecharger.com », « 01.net » et consorts qui en profitent pour y insérer des trackers et autres merdouilles publicitaires (au mieux). Le site https://offurl.fr/ vous permet de trouver les adresses directes des éditeurs de logiciels.
  • N’utilisez pas bêtement le premier résultat de Google. Il est facile de remonter dans les résultats de recherche Google (il suffit de payer) et de faire passer un site pour ce qu’il n’est pas.
  • Effectuez les mises à jours régulières des systèmes d’exploitation et des logiciels.
  • Utilisez un anti virus à jour, même Windows Defender, mais pas 4 antivirus en même temps.
  • Désolé, mais les failles existent aussi sur Linux et Mac.
  • Prenez le temps de la réflexion avant de cliquer sur un lien ou un bouton.
  • N’installez pas d’applications inutiles… surtout si vous ne savez pas exactement ce qu’elle fait ou si le peu de ce que vous en savez est anormal (genre une application lampe torche qui peut lire votre carnet d’adresse et vos SMS installée des millions de fois… pourquoi ?)
  • N’installez pas une application qui se contente de vous afficher un site internet… vous avez déjà un navigateur pour ça.
  • Séparez la vie privée et la vie professionnelle. Si un coté est corrompu, l’autre ne sera pas directement impacté.
  • Évitez de mettre sur le cloud des documents que vous ne voudriez pas voir diffuser. Le cloud n’est que l’ordinateur de quelqu’un d’autre. Combien de starlettes on vue des photos compromettantes piratés (le chantage marche encore très bien) ?
  • Évitez d’utiliser les réseaux Wifi public. Si c’est vraiment nécessaire, n’utilisez que des sites en HTTPS, ou mieux : utilisez un VPN.
  • Ne laissez pas votre carte bleue sans surveillance.
  • Pour les achats sur Internet, utilisez une carte bleue à usage unique.

Sécuriser les accès

C’est contraignant, du moins d’un premier abord, mais c’est obligatoire !

  • Utilisez une multitude de mot de passe : un service = un mot de passe. Si un service est compromis, ça restreint l’attaque à ce service uniquement.
  • Utiliser des mots de passe forts : nombreux caractères aléatoires comprenant des lettres minuscules, lettres majuscules, chiffres, caractères spéciaux, espace.
  • Utilisez des mots de passe longs. En cas d’attaque par brute force, plus le mot de passe est long, plus il consommera de ressource et le pirate se lassera peut être…
  • Pour générer et gérer les mots de passe, utilisez un logiciel comme Keepass : https://keepass.info/ lui même protégé par un super mot de passe de la mort (le seul à retenir) et idéalement la présence d’un fichier clé sur l’appareil (double facteur). Attention il existe le site keepass.fr à ne pas utiliser car c’est un site frauduleux !
  • Fuyez les services qui vous renvoient en clair votre mot de passe. Ils n’ont pas à connaître votre mot de passe, mais seulement une empreinte associée au mot de passe.
  • Protégez particulièrement l’accès au mail. Si un pirate à accès à votre mail, il peut demander la réinitialisation des mots de passe de plein d’autres services.
  • Effectuez une veille pour vérifier si vos mails ont été compromis : https://haveibeenpwned.com/.
  • Utilisez au maximum les authentifications par double facteur (mot de passe + code), si possible forts (mot de passe + matériel). Mais n’y faites pas une confiance aveugle : ce système a déjà été contourné de plusieurs manières, mais il est quand même bien plus sûr qu’un seul mot de passe.
  • Fermez les comptes inutiles.
  • Modifiez les mots de passes des comptes où il y a une suspicion de compromission. Profitez-en pour regarder (et enregistrer) les historiques de connexion, ça peut être instructif.
  • N’utilisez pas les empreintes digitales comme sésame. Modifier un mot de passe compromis c’est relativement facile, mais si c’est votre empreinte digitale qui est compromise ça va être beaucoup plus compliqué (il existe des POC à partir de photos trouvées sur Facebook, ou d’empreintes récupérées de personnes bien connues).
  • Modifiez les mots de passe par défaut des objets connectés. Il est possible de se connecter à plein de caméras IP, de routeurs et de matériel en tout genre qui n’ont soit pas de mot de passe, soit le mot de passe par défaut (le compte ayant pour identifiant « admin » et mot de passe « admin » est très courant). Et en plus, on les trouve facilement…
  • Ne laissez pas de sessions ouvertes sans surveillance. Ça peut être laisser l’ordinateur allumé, un téléphone prêté, ou un site sur lequel vous êtes identifié.
  • Analysez, voir supprimez les applications ou services ayant accès à vos autres comptes.
  • Lors de la création d’un compte sur un service, n’utilisez pas les identifications par facebook ou google, mais plutôt par un couple identifiant / mot de passe unique.
  • Assurez vous que les mails qui ont servi à la création de comptes (mails de secours) soient toujours actifs.

Navigateur

En plus du comportement dans la navigation, la connaissance de l’outil au minimum est nécessaire.

  • Préférez Firefox.
  • Ajoutez l’extension µBlock Origin en utilisant la liste de blocage des sites malveillants au minimum… et idéalement les scripts et trackers tiers et les publicités (existe aussi sous chrome).
  • Ajoutez l’extension HTTPS Everywhere pour forcer les sites mal conçus à faire appel aux autres sites en HTTPS (existe aussi sous chrome).
  • Utilisez les favoris pour vous rendre rapidement sur vos sites favoris. Les résultats de recherches sous google peuvent être temporairement compromis.
  • Prêtez attention aux adresses URL (adresse du site). Par exemple : google.com n’est pas g00gle.com… ni gοοgle.com (mais là, c’est plus subtil et technique).
  • Désactiver le punycode dans les adresses URL du navigateur. Contrairement à l’œil humain, d’un point de vu informatique il y a une différence entre https://www.apple.com et https://www.аррӏе.com/. Plus d’infos sur https://blogmotion.fr.
  • Ça n’est pas parce qu’un site à un cadenas que c’est le bon site. Cela signifie juste qu’il est en HTTPS.
  • Ne tapez pas de code ou de mot de passe si le site n’est pas en HTTPS (le cadenas). Un site en HTTP ne chiffre pas ses communications et les informations circulent en clair sur le réseau.
  • Si vous tenez à enregistrer les mots de passe dans le navigateur, placez y un mot de passe principal qui en protégera un peu plus l’accès.

Social engineering

La technique du social engineering consiste à rassembler des informations sur l’utilisateur avant de tenter de l’attaquer avec plus d’efficacité. Avec les informations en sa possession, le pirate peut plus facilement deviner vos comportements (mot de passe avec le nom de enfants et dates de naissance) ou se faire passer pour ce qu’il n’est pas.

  • Préservez votre vie privée et celle des autres : ne publiez pas volontairement vos informations personnelles.
  • Ne donnez jamais vos mots de passe.
  • Faites attention aux mails de type phishing. Ce sont des mails parfois convaincants car pouvant contenir plein d’informations vraies vous concernant qui cherchent à vous voler des sous, des accès ou à vous faire télécharger des fichiers corrompus. Ils ont souvent, mais pas toujours, des fautes d’orthographe qui devrait vous faire poser des questions.
  • Le social engineering est aussi téléphonique et physique. Vous pouvez recevoir un coup de téléphone ou une lettre du centre des impôts ou d’un client/fournisseur avec pleins d’infos vous concernant pour paraître crédible, et avec un utilisateur qui cherche à vous convaincre de leur donner votre mot de passe ou de télécharger un document corrompu (très efficace pour les standardistes sous pression quand le patron est en voyage d’affaire ou en vacances). En cas de doute : vous vous déplacez chez eux.
  • Ne cliquez jamais sur un lien dans un mail. Sur un ordinateur, on peut encore voir l’adresse URL réelle cachée derrière le lien en le survolant (mais bon, elle peut physiquement ressembler à la vraie adresse URL), mais sur une tablette ou un smartphone… Si vous devez allez sur un site : tapez l’adresse dans la barre d’adresse (ou utilisez vos favoris).
  • N’ouvrez pas les pièces jointes à un mail sauf si vous connaissez assurément la personne et que le pièce jointe à une raison d’être. N’oubliez pas que votre contact est peut être victime de piratage.
  • Ne faites pas passer un message « à faire passer à tout le monde ».
  • Fuyez les trackers d’informations : enceintes connectées, télévision connectée, facebook, messenger, whatsapps, et applications en tout genre…
  • Les questions secrètes lors de la création d’un compte sont une aberration, car les réponses sont souvent trop facilement trouvable sur Internet. Personnellement, je met une chaîne de caractères aléatoires façon mot de passe que j’enregistre sur Keepass.

Assurer ses arrières

Car malgré toutes les bonnes pratiques, ça peut arriver…

  • Effectuez une sauvegarde régulière de vos données critiques (le fichier keepass en faisant parti) :
    • une sauvegarde sur un support local (souvent) ;
    • une deuxième sauvegarde sur un support externe déconnecté et que vous conservez chez vous (un peu moins souvent) ;
    • une troisième sauvegarde sur un support externe que vous conservez ailleurs (vos retrouverez vos données même s’il y a un incendie chez vous, tant pis si elles ont deux mois).
  • Les plus paranos conseillent aussi de varier les types de supports (disque dur, clé USB, DVD gravé…) et les fournisseurs (pas 3 disques dur d’un même modèle car s’il y a un défaut sur la série ils tomberont tous en panne au même moment).
  • Ne considérez pas la synchronisation dans le cloud comme une sauvegarde.

Matériel

Faites attention au matériel que vous utilisez.

  • N’utilisez pas de clés USB que vous trouvez par hasard. C’est peut être pas un hasard…
  • Une clé USB n’est pas un support fiable. Elle sert à transférer des données, surtout pas la source original et unique des données.
  • Protégez l’accès Wifi de votre box internet ou routeur. Si nécessaire, vous pouvez souvent créer des comptes invités.
  • Avez vous vraiment besoin que votre thermomètre envoi ses infos à Google et consorts ?
  • Avez vous vraiment besoin qu’une enceinte ou une télé dans votre salon écoute et analyse tout ce que vous dites ?
  • Si vous devez jeter du matériel de stockage (à la déchetterie bien sûr), détruisez le physiquement (quelques coups de marteau sur un CD ou un disque dur).
  • Si vous vendez d’occasion ou donnez votre matériel, nettoyez les supports à fond (il existe des logiciels pour ça en fonction des supports à nettoyer). Supprimer un fichier ou même formater un disque ne supprime pas vraiment les informations.
  • Si votre matériel est corrompu, toutes les bonnes pratiques précédentes ne servent pas à grand chose. Il faut avant tout réinstaller le matériel de zéro (après s’être assuré d’une sauvegarde complètes des données sans fichiers corrompus), et bloquant la synchronisation automatique entre appareils et l’installation automatique des applications précédentes.
  • Dans certains type d’attaques très poussées, même une réinstallation complète ne suffit pas : le matériel doit être considéré comme HS et détruit.

En cas d’attaque

Conclusion

C’est contraignant ?

Attendez d’être piraté, de voir vos infos personnelles sur la toile, d’avoir vos ordinateurs et téléphonnes bloqués, vos comptes inaccessibles, de vous faire virer de votre banque, de ne plus pouvoir faire fonctionner votre entreprise et de devoir déposer le bilan… et là vous verrez ce qui est vraiment contraignant !

Question subsidiaire

Si en lisant cet article vous avez cliqué sur des liens, avez-vous regardé vous serez redirigé avant de cliquer sur le lien  ? Parce que c’est peut être trop tard… Et que c’est trop facile de faire passer un lien pour ce qu’il n’est pas : https://disney.fr.

Catégories : Sécurité

0 commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

J’accepte les conditions et la politique de confidentialité