Cette partie est essentielle, et vous fournit les meilleures pratiques en matière d'hygiène informatique afin de ne laisser que très peu d'ouverture (on parle d'une surface d'attaque minimale) à de potentiels adversaires et éviter au maximum des vols de données ou encore des usurpations d'identité.
¶ Hacking, piratage, ne pas confondre !
Une bonne fois pour toute, remettons l'église au milieu du village !
Le piratage fait référence à toute activité visant à compromettre un ordinateur, téléphone, une machine en usine, un serveur, un réseau informatique entier, voire une personne (cas de l'ingénierie sociale). Au contraire de ce que la plupart des gens pensent, le piratage n’est pas systématiquement malveillant, mais une partie est en effet effectuée par des cybercriminels et a pour conséquence de compromettre la vie privée de la (ou des) cible(s).
Le « hacking » se rapporte à toute activité permettant de détourner un objet de sa fonction première. Un hacker s’intéresse avant tout au détournement, à la bidouille, au jeu, aux défis intellectuels...
Eh oui, vous voyez, un hacker n’est pas forcément un pirate informatique ! Vous trouverez par exemple beaucoup de personnes détournant des objets de la vie quotidienne pour une autre utilité : ces personnes sont aussi des hackers et on les appelle des « life-hackers ». Cette confusion vient en partie des journalistes et autres pseudo-experts qui ont utilisé ce terme afin de désigner les cybercriminels uniquement, en omettant toute la partie bienveillante ou positive. Ce terme est resté ancré dans l’inconscient collectif, en des termes négatifs.
Attention donc à la confusion avec la terminologie :
- Un cybercriminel est un pirate informatique malveillant
- Un pirate informatique peut être bienveillant (un "pentester" par exemple - penetration testing = tests d'intrusion : auditer la sécurité informatique)
- Un hacker peut être un pirate informatique (cf. terminologie White Hat / Grey Hat / Black Hat du glossaire).
Il peut néanmoins être un "bidouilleur", qui installe un système alternatif à la place de celui d'un robot cuiseur, une calculatrice ou une imprimante, pour relever le défi d'y jouer à des jeux vidéos
¶ Mots de passe
Un mécanisme que tout le monde redoute...
Qui n’a jamais râlé en tentant de retrouver le bon mot de passe devant son site de vente en ligne préféré ?
Qui n’a jamais cédé à la tentation du post-it sur son écran d’ordinateur pour se remémorer son mot de passe de session ?
Qui n’a jamais écrit tous ses mots de passe sur une feuille de papier ou pire sur un outil numérique de type Google, synchronisé sur des serveurs ?
En termes statistiques, plus de 80% des fuites de données liées à des piratages informatiques sont liées aux mots de passe.
Jetez un oeil à des mots de passe tout à fait inutiles [1], et encore utilisés de nos jours, malheureusement, en espérant que vos mots de passe n'y figurent pas. Sinon, changez le immédiatement.
Voilà pourquoi ce sujet est essentiel. Pour bien comprendre l’utilité d’un mot de passe, intéressons-nous à son histoire.
Dans les années 60, un brillant ingénieur (oui, oui, brillant !) du MIT a eu besoin de donner accès à des étudiants à une partie des ressources du système informatique de l'université. Néanmoins il fallait trouver une solution pour identifier ces étudiants et ainsi leur donner accès aux ressources. C’est ainsi qu’il créa le mot de passe (« password » en anglais). Malheureusement à peine créé, et déjà détourné : un étudiant ayant besoin de beaucoup de ressources pour sa thèse a trouvé le moyen d’avoir le mot de passe des autres étudiants et ainsi avoir plus de ressources... eh oui, les mots de passe étaient stockés en clair dans un fichier !
Si le procédé a vite été détecté, l’auteur non. Celui-ci n’a avoué que 20 ans plus tard.
Ainsi nous pouvons de cette histoire en déduire deux conclusions majeures, qui sont aujourd’hui le socle de l’utilisation d’un mot de passe :
- Le mot de passe doit être créé de sorte que seul son créateur puisse le retrouver et il doit être assez fort pour résister à toute déduction (manuelle ou par le biais d'algorithme(s)). Bien sûr cela demande aujourd’hui une sacrée dose de réflexion !
- Les mots de passe stockés sur un appareil doivent l'être de façon sécurisée et jamais en clair. Aujourd’hui tout mot de passe stocké est dans la plupart des cas protégé par des mécanismes de hachage, voire d’autres mécanismes (comme le salage par exemple).
¶ Quel est le futur des mots de passe ?
Nous entendons de plus en plus parler de fonctions ou procédés « passwordless ». Ce procédé vise à autoriser un accès à un utilisateur sans qu’il ne rentre aucun mot de passe.
« Bon OK, ça j’avais compris en traduisant de l’anglais, mais concrètement... »
Concrètement, je vous renvoie à la partie quelque peu "fournie" de cet article plus haut, qui traite de l’authentification multifactorielle (MFA). Attention cependant de ne pas confondre les 2 mécanismes : le MFA ajoute « n » couches d'authentification en plus de l’authentification par mot de passe, le passwordless lui n’a pas besoin d’un secret connu (facteur 1, mot de passe par exemple) mais implique l’utilisation des autres facteurs pour s’authentifier :
- Quelque chose que vous DÉTENEZ
- Une de vos CARACTÉRISTIQUES PHYSIQUES
- OÙ vous vous situez
Par exemple : utilisation d’un token physique de sécurité, utilisation de l’empreinte digitale...
Il est également tout à fait possible d’utiliser ces facteurs en même temps, auquel cas nous nommerons ce procédé « MFA-passwordless » !
« Youpi c’est la fin des mots de passe !! ».
Alors, pas tout à fait, gardons notre sang-froid... Même si théoriquement il est vrai que ce mécanisme permet de se passer d'un facteur encombrant lors de l’authentification, certains points sont encore problématiques : par exemple, le vol de votre token physique de sécurité implique une compromission totale de votre compte, associé à ce moyen d'authentification (si en plus ce token fait office de moyen d’authentification pour plusieurs de vos comptes, tous ces comptes sont potentiellement compromis !). Également, cela ne protège pas non plus contre des failles connues comme le SIM swapping, ou certains logiciels malveillants. Aussi, nous savons que certains lecteurs d’empreintes digitales ou lecteurs d’empreintes de visage peuvent être contournés (cf. compromission des technologies Apple touchID et faceID [2], par exemple). Même si les grandes entreprises commencent à implémenter ce procédé, celui-ci n’est toujours pas très répandu. Les difficultés d’implémentation dans les infrastructures sont assez importantes car le coût d’implémentation est énorme.
Donc une chose est sûre, le mot de passe n’est pas encore prêt de disparaître. Vous en avez pour un petit moment encore !
¶ Êtes-vous réellement obligés de dire la vérité ?
Nous voyons parfois des sites internet qui demandent à ses utilisateurs de sélectionner parmi un nombre de questions pré-établies et d’y adjoindre une réponse personnelle, ceci afin de renforcer la sécurité. Par exemple : quelle est le nom de jeune fille de votre mère ? Quel est votre animal préféré ? Et bien d'autres. Par réflexe, nous avons pratiquement toujours l'habitude de dire la vérité...
Mais vous êtes-vous déjà demandés si vous étiez véritablement obligés de répondre avec de réelles informations ?
La réponse est : NON, absolument pas !
Vous n’êtes pas tenus de donner une information personnelle véridique, vous pouvez tout simplement inventer une réponse. En ce sens, ne pas donner trop d’informations personnelles peut éviter qu’une fuite de données un jour puisse avoir un impact négatif sur votre vie privée.
Ceci se rapporte également aux adresses postales que vous donnez sur tous les sites, bien entendu...
¶ Parlons technique...
Rentrons dans le vif du sujet, afin de devenir difficilement piratable :
¶ Politique de mots de passe puissante
Nous l’avons vu plus haut, créer un mot de passe extrêmement puissant peut déjà vous couvrir face à la majorité des tentatives d'intrusions. Choisir un mot de passe comme « 1234 », « Choupette1982 », « Misssunshine » ou « Pepperonipizza2000! » et bien d’autres relève aujourd’hui de l’hérésie informatique (malheureusement on le voit encore trop souvent !) 
- pré-requis minimum : 20 caractères
cela s'atteint aisément avec une technique simple - la phrase de passe -, évoqué juste à la suite. - Au minimum un mélange de lettres minuscules-majuscules, de chiffres, et de caractères spéciaux. Afin de renforcer encore plus vos mots de passe :
- On évite la majuscule en début de mot de passe
- On évite le caractère spécial en fin de mot de passe
- On évite les chiffres en début et fin de mot de passe
- On évite les suites de chiffres tels « 1234 » ou « 54321 » ou les suites de lettres type abcde
- On évite les dates d'anniversaire, ou dates importantes
- On évite les prénoms des enfants, le nom de son toutou, les hobbies et toute activité personnelle qui peuvent facilement se retrouver sur les réseaux.
- Créer votre propre façon d’obfusquer votre mot de passe, par exemple : « jsistorienvoia » peut devenir « js%stor%envo%a » (on ajoute un % à la place du i)
- Il est également possible voire même tout à fait conseillé aujourd'hui d’utiliser des « phrases de passe » (passphrase), par exemple : « suis bois orchidee cheval ». Une phrase de passe consiste à choisir une suite de mots formant une phrase mais n’ayant aucun sens, avec l'objectif de pouvoir le mémoriser simplement. On pourrait tout aussi bien combiner.
On estime qu'une suite de 5 mots serait suffisante pour être à l'abri des attaques les plus courants sur les mots de passe : on obtient 64 bits d'entropie et avec une puissance de calcul d'1 Milliard de passphrases testées par seconde, cela prendrait 900 ans avec les moyens actuels et futurs proches ! On recommande, cela dit, 6 mots à ceux qui sont particulièrement exposés, afin d'obtenir une meilleure couverture.
Une technique afin de choisir vos mots : le lancé de dés ou diceware.
¶ Mots de passe UNIQUES
Choisissez un mot de passe UNIQUE pour chaque compte que vous créez
Chaque site nécessitant un compte avec un couple [nom d’utilisateur ; mot de passe] doit contenir un mot de passe unique, qui n’a jamais été utilisé sur un autre de vos comptes. La raison est très simple : vous évitez en choisissant un mot de passe unique, dans le cas éventuel d'une fuite de données (qui arrive plus souvent que vous ne le pensez), de retrouver ce mot de passe sur les darknets, compromettant ainsi TOUS vos comptes ! La situation est en fait encore pire en ayant un mot de passe unique (quand bien même il serait "ultra-secure"!!) :
- "ultra-secure" (comme le disent certains
) ou pas, si votre mot de passe est dévoilé, peu importe sa robustesse ! - Et généralement nous ne sommes pas avertis rapidement de ces fuites de données, donc vous mettez à risque la totalité de vos comptes (qui pour certains peuvent être sensibles) sans forcément le savoir et prendre des mesures (changement de mot de passe).
- Ah j'oubliais : dans le cas d'une fuite, vous devrez changer le mot de passe de TOUS vos comptes.
Donc on se répète : un mot de passe UNIQUE pour chacun de vos comptes. Ici également, c'est un pré-requis essentiel (non négociable)
Attention, veillez à ne pas tester vos mots de passe sur des sites internet qui proposent ce service, y compris sur des sites de sociétés très connues, et y compris s'ils vous disent qu'ils ne collectent pas les données. Vous ne savez pas qui est concrètement derrière ces sites internet, et quels seraient les algorithmes ou les codes implémentés, voire dans le pire cas qui pourrait intercepter la requête avec le mot de passe à l’intérieur ! Un mot de passe est un secret, et doit le rester pour tout le monde, y compris votre conjoint(e) ou vos enfants.
Alors je sais, vous vous dites "Non mais attends, créer un mot de passe ultra fort est déjà presque impossible à retenir, si je dois en choisir un pour chaque site ou compte, c'est impossible !!"
Et vous avez entièrement raison : ...
¶ Gestionnaire de mots de passe
... Voici pourquoi utiliser un gestionnaire de mots de passe est fortement recommandé.
Je vous renvoie ici vers l'article dédié à ces outils.
Pour synthétiser, le seul outil aujourd'hui capable de fonctionner complètement hors ligne est :
- Keepass, qui peut paraître austère pour certains ! Deux nouveaux logiciels basés sur le code source de Keepass ont donc été créés :
- KeepassXC pour le client sur ordinateur
- KeepassDX pour le client Android
Vous pouvez également utiliser ce second outil :
- Bitwarden, mais pour utilisateurs avancés, car il faut auto-héberger sa base chez soi ce qui demande quelques connaissances.
Egalement, 2 outils avec une approche différente :
Attention à bien porter une attention particulière aux risques inhérents à ces solutions ; relisez l'article sur les gestionnaires de mots de passe si vous avez besoin d'information à ce propos.
¶ Authentification multi factorielle
Activez partout où cela est possible les authentifications à plusieurs facteurs, au minimum 2FA. Attention cependant à l’utilisation du 2FA avec SMS ou courriel : il doit être limité uniquement aux cas où vous n’avez pas d'alternative. Si l'on vous donne le choix, préférez d’autres méthodes comme l’OTP (One-Time Password) via des outils libres (on évitera les Google Auth, Microsoft Auth etc.), dont voici des exemples fiables :
- Aegis
- RavioOTP (uniquement Apple)
- Authenticator Pro (uniquement Android)
- FreeOTPPlus (uniquement Android)
¶ Le moins d’informations personnelles
De manière générale, évitez de donner trop d’informations personnelles sur des sites internet qui n’en ont pas réellement besoin (âge, date de naissance, adresse postale, lieu de naissance, numéro de sécurité sociale, etc.).
- Twitter par exemple n’a pas besoin de votre adresse postale, pourquoi la donnez-vous ?
- Google non plus.
- Facebook n’a pas besoin de savoir non plus de quelle ville vous venez actuellement.
- Votre « Forum des choses pratiques » n’a pas non plus besoin de savoir quel âge vous avez
- Si vous remplissez des questionnaires en ligne ils n’ont pas besoin de connaître votre adresse ou sinon vous devez vous méfier de ce que cela implique (tous professionnels qu’ils soient !)...
Cela est valable pour tous les sites, et encore plus pour les réseaux sociaux, car aucun de ces sites n’est et ne sera à l’abri d’une fuite de données (même s’ils prétendent le contraire).
Protéger votre identité et votre vie privée est crucial.
¶ Adresse postale
Arrêtez de donner votre adresse postale réelle autant que faire se peut
Oui je sais cela reste compliqué en France. Parfois, souvent, il n’est pas possible de le faire donc vous n’aurez pas le choix, mais si possible, préférez donner une adresse postale d’un point relais ou d’une boîte postale (vous pouvez louer une boîte postale) lorsque vous le pouvez.
Cela évite lors de fuites de données de retrouver votre adresse postale un peu partout sur les sites d'échanges entre pirates malveillants.
Une dernière chose, on évitera de rentrer ses adresses postales de domicile et de travail dans des applications de géolocalisation (type GPS), voire dans votre système de navigation de voiture (Tomtom, etc.) !
Mais ça vous le faisiez déjà n’est-ce pas ?
¶ Les fameuses questions de sécurité
En ce qui concerne les questions de sécurité associées à des réponses secrètes : ne donnez jamais de réponses secrètes en lien avec vous ou votre vie privée (nom de jeune fille de votre mère, sport favoris, dessert préféré, cocktail favori...). Préférez utiliser des réponses aléatoires, et éventuellement celles-ci peuvent être stockées sur votre gestionnaire de mots de passe, pourquoi pas.
¶ Les petites annonces
Arrêtez de mettre vos adresses courriels ou vos numéros de téléphone dans le texte de vos petites annonces, ou vous vous exposez à des campagnes de spam à volonté, voire pire !
¶ Les adresses courriels ou les alias
Créez des adresses courriels par exemple pour chaque « pan » de votre vie. Ce n’est pas nécessairement obligatoire, mais fortement recommandé. Cela contribue à améliorer votre vie privée, car si une boite est compromise, les autres ne le seront pas forcément (sauf si vous choisissez le même mot de passe pour toutes ! Hum... Vous vouliez vraiment faire ça ? Alors relisez la partie sur l'hygiène des mots de passe).
Exemple :
- Un compte pour votre/vos banque(s)
- Un compte pour votre travail (si pas déjà fait via votre société)
- Un compte vie personnelle/familiale
- Un compte pour les médias sociaux
Attention : ceci n’est qu’un exemple !
Si vous choisissez d'utiliser des alias [définir les alias et Pour aller plus loin, vous pouvez visionner la vidéo de présentation de ce type de service (avertissement : vidéo en anglais - nous présenterons probablement cette vidéo traduite ou sous-titrée, selon nos disponibilités futures)], penchez-vous sur ces solutions :
- AnonAddy => présentation par la communauté Techlore par ici (avertissement : vidéo en anglais - nous présenterons probablement cette vidéo traduite ou sous-titrée, selon nos disponibilités futures)
- SimpleLogin => présentation par la communauté Techlore par ici (avertissement : vidéo en anglais - nous présenterons probablement cette vidéo traduite ou sous-titrée, selon nos disponibilités futures)
Grâce à ces 2 solutions, vous pourrez vous créer un courriel alias, pour vous garantir un certain pseudonymat (surtout si vous utilisez une adresse courriel comme "monprenom.monnom@jevaismefairehacker.com" 
).
¶ Protégez vos échanges courriels
Idéalement, chacun de vos échanges courriel devrait être chiffré de bout en bout, avec des clés de chiffrement/déchiffrement que vous possédez. Aujourd’hui peu prennent en considération cet aspect de la sécurité au niveau courriel. Mais pensez une seconde aux courriels que vous avez déjà transmis : vous avez sans doute déjà envoyé à un tiers une photo de votre carte d’identité, de votre permis de conduire, une copie de votre fiche de salaire. Vous avez déjà transmis un numéro de sécurité sociale, le tout sans protection par mot de passe au minimum (Aïe, ouch!)...
Pour faire simple, « Un courriel est tel une carte postale, numérique » ; un courriel doit toujours être vu comme une carte postale sans enveloppe, et donc à ce titre tout le contenant se retrouve lisible par n’importe qui, bien placé entre vous et votre destinataire.
Que diriez-vous si vous retrouviez toutes ces informations sur les darknets, vendues au plus offrant, et usurpant peut être votre identité ?
« Mais Gmail, Outlook etc. chiffrent déjà mes courriels maintenant, non ? » allez-vous me dire. Oui, vous avez raison. Bon c'est déjà un bon début, mais tout comme la confiance que vous portez à ces sociétés (c’est-à-dire : confiance nulle !), vous ne devriez pas non plus leur faire confiance sur cet aspect : en effet, s’ils chiffrent vos courriels, le problème majeur est qu’ils détiennent les clés de sécurité (chiffrement et déchiffrement). Ce sont donc eux qui vont les générer et les gérer pour vous... Et comme une clé de sécurité est un item critique, mieux vaut avoir la main et pouvoir contrôler ces éléments vous-même. Il est donc recommandé d’utiliser d’autres solutions. En voici quelques unes :
- Certains fournisseurs de compte courriels fournissent nativement une solution pour du chiffrement (et potentiellement une signature) de vos courriels :
- Posteo : Posteo, que nous recommandons vivement, est une entité tournée vers le développement durable qui propose pour 1 euro/mois une boîte courriel (paiement cash accepté), et a priori respecte votre vie privée en tout cas bien plus que les suivants mentionnés (ex. : l'inscription ne nécessite aucune donnée personnelle). Mais revenons-en à nos moutons : Posteo donne la possibilité d'utiliser PGP (Pretty Good Privacy, cf. cet article)
- Disroot : Disroot est une autre messagerie qui vous permettra d'utiliser PGP via votre client courriel préféré; comme Thunderbird, bien plus rassurant que n'importe quelle autre application ou webmail, car vous pourrez utiliser vos propres clés dans votre environnement. La contrepartie est une mise en place plus complexe pour les néophytes (ou alors utilisez Mailveloppe, cf. ci-après) !
- Tutanota : permet d’ajouter un mot de passe à chaque courriel, mais également de pouvoir protéger vos courriels grâce à des clés de sécurité PGP.
À noter, pour ce fournisseur de services, que le gouvernement allemand a réussi à les contraindre à utiliser une porte dérobée pour tous les mails échangés en dehors des processus de chiffrement de bout en bout (mail du domaine @tutanota vers mail d'un autre domaine (@gmail / @live, etc), pour lequel aucun mot de passe de chiffrement n'a été créé par exemple - les courriels Tutanota
Tutanota en sont a priori exemptés : préférer au maximum utiliser le chiffrement) - Protonmail : ici encore vous pouvez ajouter une protection par mot de passe ou utiliser des clés grâce à PGP, mais cela dit les clés ne vous appartiennent pas et sont gérées par Proton AG...
Petit aparté sur protonmail : il est bon de savoir que Proton AG a été obligé de livrer des adresses IP de comptes d’activistes français en 2021 à la demande des autorités [3][4]. Ce qui veut dire que les adresses IP peuvent potentiellement être retrouvées... À vous de décider, en connaissance de cause, si vous leur faites confiance.
- Si toutefois votre fournisseur de compte courriel ne proposait pas de protection et/ou si vous souhaitez garder vos comptes Google, Microsoft... certaines solutions existent afin d’appliquer une protection bout en bout :
- Mailvelope : là encore, vous pourrez utiliser PGP afin de protéger vos échanges.
- Enigmail : pour Thunderbird, si vous utilisez ce gestionnaire de courriel. Il implémente PGP afin de protéger vos échanges.
Référez-vous à notre article dédié sur PGP/GPG et sur le chiffrement pour plus de détails.
- Enfin, il est tout à fait envisageable d'opter pour certains services à des comptes courriels temporaires. Certains fournisseurs :
- https://10minute-mail.com : pour les sites qui ont besoin d'un courriel pour valider une inscription, il est peut être intéressant d'utiliser un courriel temporaire si celui-ci ne requiert pas de validation d'identité.
- https://yopmail.com : est un service très connu pour les courriels temporaires (qui fait aussi des alias).
- Beaucoup d'autres solutions existent
Bien que nous leur préférons de loin les alias.
¶ Protégez vos échanges de messagerie
Sur le même principe que vos échanges par courriel, vos échanges par messagerie se doivent d'être protégés... Notre collectif recommande l'utilisation exclusive d'une messagerie sécurisée avec chiffrement de bout-en-bout et respectueuse de vos données privées.
Si votre modèle demande un anonymat, c'est aussi possible même si plus complexe à mettre en place.
Ce sujet est discuté en détails dans l'article dédié aux messageries, que nous vous conseillons de lire très attentivement
¶ Les liens hypertextes / URLs
Ne jamais cliquer sur des liens (hypertextes) contenus dans les courriels :
Si ce lien vous amène sur un écran où vous devez rentrer vos identifiants, il est préférable de se méfier et de fermer ce site. Puis de vous connecter en allant directement vous-même sur le site en question (la seule exception étant le renouvellement de mot passe).
Extrait d'un courriel pour une campagne de hameçonnage
Attention aux coquilles dans le corps de texte des courriels, qui trahissent les emails issus de campagnes de hameçonnage (détaillé ci-après)
De nos jours, il est très facile de copier une page des sites bien connus (Facebook, Decathlon...) pour aspirer vos données d’authentification, voire vos données bancaires : on appelle cela l'attaque par hameçonnage (ou "phishing attack").
Exemple : vous recevez un courriel (visiblement très professionnel, aucune faute...) de Decathlon vous annonçant que vous pouvez participer à un jeu vous permettant de gagner un bon d'achat exceptionnel pour le dernier vélo électrique à la mode. Vous cliquez sur le lien, qui vous amène sur une page Decathlon tout à fait légitime, puis vous jouez, vous gagnez et enfin on vous demande de rentrer vos coordonnées bancaires, arguant qu’il leur faut faire un retrait de 2 euros afin de faire une empreinte de votre carte pour payer les frais de transports, mais que tout vous sera remboursé par la suite. Le piège s’est refermé, vous renseignez les données. Puis vous voyez un remboursement de 2 euros quelques jours suivants, ce qui vous rassure ; en revanche, les jours qui suivent vous vous apercevez que des retraits de 200 euros, 500 euros ont été effectués. Vous faites opposition mais bien sûr il est trop tard puisque les cybercriminels ont déjà récolté l’argent...
Cette histoire est tirée d’une réelle campagne de phishing !
Ne sous-estimez JAMAIS les cybercriminels, c'est ainsi qu'ils trouvent leur motivation. Ne sur-estimez jamais la façon dont vous pensez pouvoir réagir. Cela peut arriver à n’importe qui, et encore plus à celui qui est trop confiant.
¶ Les mises à jour
Toujours effectuer les mises à jour de sécurité dès qu’elles sont disponibles :
Les pirates informatiques malveillants se basent pratiquement tout le temps sur les failles de sécurité des logiciels. Vous entendez tous les jours que des logiciels ou des systèmes d’exploitation ont reçu des « patchs (entendre correctifs) de sécurité », afin de combler une vulnérabilité (corriger une faille de sécurité). Eh bien, il s’agit exactement de cela : patcher pour combler les failles dont les développeurs se sont aperçus, et qui exposent potentiellement vos données ou autre chose.
Il est aujourd’hui assez simple de vérifier s’il existe des mises à jour de sécurité donc n’attendez pas avant de les faire, surtout lorsque celles-ci sont critiques. Nous recommandons ainsi d'activer les mises à jour automatiques depuis votre système d'exploitation favori (libre ! comme GNU/Linux, ou un Android dégooglisé, nous l'espérons ), dans cette démarche de sécurisation proactive.
Pour le reste des mises à jour classiques, elles peuvent potentiellement attendre, même si le plus tôt sera le mieux.
¶ Les mécanismes d’authentification
Ne jamais vous authentifier en utilisant les mécanismes d’authentification des GAFAM ou autres pompes à données : Facebook, Google, Microsoft etc.
Bien que ces méthodes soient très pratiques à l'usage, cela comporte un risque : comment être sûr que le site en question est de confiance, comment être sûr que celui-ci ne va pas tout simplement collecter vos données personnelles voire même vos identifiants ? Vous ne pouvez pas. Il est donc préférable de créer un compte unique.
Voilà aussi pourquoi un gestionnaire de mots de passe est utile. Utilisez-le donc afin de simplifier la chose !
¶ HTTP-s partout
Utiliser le protocole HTTPS partout où vous le pouvez lors de votre navigation : nous y reviendrons dans la partie suivante.
¶ Les fichiers et leur intégrité
Ceci est un rappel, mais évitez de télécharger des exécutables directement ou dans des archives, que ce soit Linux (via des fichiers ELF ou "Executable Linkable File") ou Windows (via des fichiers à l'extension .exe ou .msi).
Et dans le cas d'un téléchargement depuis un site internet, plutôt que depuis un centre logiciel : toujours télécharger depuis le site officiel de l'éditeur logiciel dudit programme.
Astuce toute simple : depuis mon moteur de recherche préféré, je tape wikipedia + nom_du_programme_à_télécharger (ou bien je demande conseil sur une communauté, comme celle-ci). Depuis l'article Wikipedia, je retrouve le lien vers l'URL de l'éditeur logiciel ; le but étant de télécharger un fichier authentique, en allant directement à la source.
En prolongement et pour tous types de fichiers (.iso, .img, ...), vérifiez TOUJOURS, lorsque disponible, l'intégrité du fichier téléchargé. Cela se fait via une vérification de la "signature" ou de "la somme de contrôle" dudit fichier.
Voir l'article sur la vérification de l'intégrité.
¶ Sur les antivirus et antimalware
Concernant l'utilisation d'un anti-virus ou anti-malware, même si certains malwares modernes aujourd'hui ne sont plus détectables facilement, il est toujours possible de détecter des malwares connus et moins sophistiqués, ce qui est déjà une bonne chose (soyons pragmatiques). Dites-vous bien qu'un anti-virus ne vous protégera pas des agences à 3 lettres bien connues !
La bonne (première) pratique est si possible de télécharger des fichiers sur un environnement isolé, comme une machine virtuelle Linux (pour plus de facilité) par exemple, via VirtualBox ou VMWare. Cela s'accompagne également d'une utilisation particulière, qui ne risque pas de mettre à mal votre modèle de menaces :
- N'utilisez pas de solutions commerciales, type Norton, BitDefender, Kaspersky... qui implémentent de toute manière une télémétrie vers leurs entreprises ainsi que des sociétés tierces.
- Si vous avez un modèle de menaces nécessitant une sécurité et un anonymat accru : n'utilisez pas les fonctions de protection en temps réel de ces outils ; au delà même de la question de l'utilité réelle de ce genre de fonctions, celles-ci sont exécutées avec des privilèges hauts et de facto peuvent être utilisées comme un vecteur d'attaque.
- Préférez les solutions open-source et hors ligne, afin d'utiliser ces outils comme prévus à l'origine : scanner régulièrement les fichiers de votre système, ou que vous voudriez scanner en cas de doute sur une potentielle infection. Nous avons rédigé un tutoriel afin de vous guider dans ces tâches. Pour synthétiser nous recommandons :
- pour la détection de logiciels malveillants (malwares) :
- ClamAV et ClamTk son interface graphique
- RFXN Linux Malware (Linux uniquement)
- Hypatia (Android uniquement)
- pour la détection de rootkits (cf. ici) : Chkrootkit ou RkHunter (Linux uniquement)
- pour la détection de logiciels malveillants (malwares) :
- Si vous ne souhaitez pas installer un outil sur votre ordinateur, vous pouvez potentiellement vous aider de solutions web. Attention ici cependant de ne pas mettre des fichiers contenant des informations personnelles (les vôtres ou ceux d'autres personnes) ou sensibles sur ces sites internet :
- VirusTotal (petite mise en garde sur cet outil : leur politique de vie privée est assez problématique cependant car ils stipulent que "tout fichier que vous leur soumettrez seront gardés, partagés voire utilisés à des fins commerciales". Voilà pourquoi il est important de ne pas transmettre de fichiers potentiellement sensibles.)
- Hybrid analysis
- D'autres outils sont disponibles sur ce dépôt pleins de ressources fabuleuses concernant les malwares : awesome-malware-analysis
Attention de bien garder en tête cependant que ces outils ne sont pas la panacée, et ne pourront pas détecter 100% des malwares existants ou futurs. Il est donc important de mettre en place les bonnes pratiques et de bien faire attention aux autres parties de cet article.
¶ Les WiFi publics
Bannissez tous les WiFi publics (hormis certains cas bien précis) :
Les gares, aéroports, cafés, hôtels, restaurants... qui proposent des Wifi partagés sont aussi des lieux idéaux pour tous cybercriminels afin de s’introduire sur votre machine. ÉVITEZ absolument ces WiFi. Voici quelques alternatives :
- Vous avez sûrement tous un téléphone portable dernier cri Android (ou Apple... Quoi ?!! Vous avez encore un produit Apple ?!! ). Utilisez donc leurs fonctions de « point d’accès sans-fil » avec votre téléphone en 4G/5G afin d’éviter de vous connecter sur les WiFi publics.
- Si vous voulez tout de même vous connecter sur des WiFi publics pour des problématiques d'anonymat, l’utilisation d’un VPN dans ce cas précis est ABSOLUMENT NÉCESSAIRE.
¶ Conclusion
Pour terminer sur cette partie déjà bien fournie, il existe quelques sites pour savoir si une adresse courriel ou un nom d’utilisateur a déjà fait l’objet de fuite : visitez ce site https://haveibeenpwned.com/. Néanmoins il ne regroupe que les attaques majeures, et à ce titre ne doit pas être vu comme le site de référence ultime des fuites en ligne...
Par Ayo
Liste des mots de passe les plus communs ↩︎
Protonmail dans la tourmente. ↩︎
Protonmail balance des activistes parisiens. ↩︎