De plus en plus, nos démarches quotidiennes comme nos achats, nos réservations, nos déclarations administratives, se font en ligne. Elles s’effectuent sur ordinateur, tablette ou téléphone mobile et sur des sites internet très différents. Conjointement, nos courriers passent de moins en moins par la poste et de plus en plus par messagerie électronique et nous confions parfois aux réseaux sociaux des informations personnelles sur nos contacts, notre famille, nos habitudes, nos opinions.

Si la plupart du temps tous ces outils numériques facilitent la vie, nos ordinateurs,  nos smartphones, nos stockages sur internet contiennent des données sensibles qui peuvent être potentiellement exploitées par des entreprises ou bien détournées par des pirates.

La question aujourd’hui et de savoir comment maitriser notre sécurité numérique en évitant les attaques de cybercriminels. Le risque zéro et la solution miracle n’existent pas, cependant les bonnes pratiques décrites dans cet article sont de nature à  limiter sensiblement ces risques.

Données personnelles en danger !

la cybercriminalité augmente tous les jours. Au 1er semestre 2018, 4,5 milliards de données ont été compromises. Les données personnelles sont devenues la cible des pirates et des marchands. Les grandes entreprises sont elles aussi victimes de fuites de leurs données utilisateurs, parfois dues à des problèmes techniques mais aussi souvent dues à des actes de piratage.

Les simples utilisateurs sont aussi complices, ils ouvrent imprudemment la porte de leurs données : réseau sociaux, enceintes intelligentes comme Alexa, Google Home, Microsoft Invoke, Apple HomePod, montres connectées, maison connectée et surveillée,  sont autant de portes d’entrées pour les pirates à vos données personnelles.

• Les enceintes à commande vocale sont connues pour écouter vos conversations en permanence, elles envoient des informations dans le cloud.
• De nombreuses sociétés conservent vos métadonnées et l’historique de vos requêtes sur leurs serveurs.
• De nombreuses applications sur vos smartphones accèdent à vos contacts et vos données pour les transmettre à des spammeurs ou à des pirates.
• Google et d’autres sur votre téléphone tracent vos déplacements, donnant la possibilité à des malfaisants piratant votre compte, d’étudier vos habitudes et de cambrioler tranquillement votre maison ou votre résidence secondaire quand vous êtes absent.
• Votre montre connectée collecte aussi vos déplacements, vos heures de sommeil, vos fréquences cardiaques, vos performances sportives et les transmet à des bases de données vendues à des entreprises et des assurances avides de statistiques et d’analyses à partir d’intelligence artificielle.
• Des bugs parfois compromettent vos données et provoquent des envois intempestifs de vos courriels privés à des listes de contacts.
• Les cartes de fidélité de vos magasins préférés leurs permettent d’analyser vos achats vos gouts et vos préférences.

Aujourd’hui, 24h/24 et  à « l’insu de notre plein gré « nous sommes espionnés en permanence.

Principales menaces informatiques

Un logiciel malveillant, le malware, est un terme générique englobant différentes menaces informatiques visant toutes à nuire à un ordinateur, un téléphone, un programme, un système d’informations, les réseaux d’une entreprise. Il est construit pour être discret et pour voler des données confidentielles, comme les données bancaires des clients. Il en existe plusieurs formes :

• Le virus informatique. C’est un type de logiciel malveillant caché dans un logiciel légitime. Chaque fois qu’un utilisateur exécute le logiciel infecté, le virus peut se propager dans la machine, le réseau local et sur les périphériques connectés (clés USB, disques externes, …).
• Le ver informatique est plus fréquent que le virus. Ce type de malware se répand sur le réseau Internet et peut s’installer sur une machine à partir d’un courriel ou d’’un téléchargement.
• Le  cheval de Troie (Spyware, Trojan). Ce type de malware est un logiciel espion qui  contamine discrètement un ordinateur par l’intermédiaire d’une application qui peut être légitime. Ce logiciel peut enregistrer des mots de passe, accéder à la web cam pour enregistrer les gestes à l’insu de l’utilisateur et les envoyer sur un serveur. Un pirate peut utiliser ce type de logiciel pour récupérer des fichiers sur l’ordinateur.
• Les ransomwares constituent une menace très répandue (en français rançongiciels). Il s’agit de racketter les victimes en utilisant un  programme malveillant envoyé par mail  ou dans un téléchargement qui chiffre en quelques secondes tous les documents stockés dans l’ordinateur et dans les machines et périphériques connectées sur le réseau. Pour  récupérer les données, il faut payer une rançon aux pirates qui sont censés transmettre en échange la clé de déchiffrement. En France, on estime que 20 000 ordinateurs par mois sont infectés par des ransomwares.

D’autre pratiques constituent aussi des menaces :

• Le Pourriel (Spam). Le spam n’est pas toujours une menace informatique dangereuse, cependant les spams peuvent  contenir des vers informatiques ou pointer sur des sites malfaisants.
• Vol d’appareils portatifs ou mobiles (Theft). Les téléphones et tablettes sont particulièrement susceptibles d’être volés ou oubliés dans un lieu public ouvrant ainsi la porte à des vols de données sensibles. Il est nécessaire de penser à protéger ces appareils. Les suites d’antivirus proposent des fonctionnalités de protections adaptées à ces types d’incidents.
• L’hameçonnage (Phishing). La fraude par hameçonnage est une menaces informatique parfois facile à identifier mais pas toujours. C’est un courriel qui imite celui d’un service existant (votre banque, la sécurité sociale, votre opérateur, les impôts, ….). Sous un prétexte quelconque, les auteurs tentent de récupérer des informations personnelles en incitant le destinataire à cliquer sur un lien ressemblant à un site officiel pour saisir des informations (mots de passe, identifiants, …)  dans le but de les récupérer, les revendre ou les exploiter.
• L’attaque par déni de service (DDoS).  Cette attaque consiste à inonder un serveur ou un site web de requêtes dans le but de le rendre indisponible et paralyser la société à qui il appartient. Un pirate peut utiliser son seul ordinateur pour contrôler des zombies, c’est-à-dire d’autres ordinateurs infectés qui obéiront à ses commandes. Ces ordinateurs ont été préalablement infectés par des virus, des vers ou des trojans.

Les mots de passe : la base de toute sécurité

Une des meilleures façons de protéger des accès est de mettre un mot de passe. Avec des informations d’identification uniques, les individus non authentifiés ne peuvent pas accéder à vos systèmes. Cependant :

• Le mot de passe doit être complexe et fort (plus de 10 caractères si possible ) et combiner des majuscules, des minuscules, des chiffres, des symboles et des caractères spéciaux.
• Il faut éviter les mots de passe faciles à deviner et comprenant des mots communs ou des informations comme les nom de vos animaux de compagnie, des dates de naissance, l’immatriculation de votre voiture, etc. Les pirates utilisent des logiciels et des dictionnaires qui effectuent en quelques secondes toute les combinaisons possibles en les testant une à une. C’est ce qu’on appelle des attaques par force brute. Plus un mot de passe sera long et complexe, plus il sera long « à casser » par cette méthode.

Il existe différents sites qui donnent des conseils sur l’utilisation des mots de passe et la vérification de leur solidité, en voici quelques-uns.

• Vérifier la solidité de son mot de passe
• Tester un mot de passe et estimer le temps qu’il faut pour le cracker
• Tester la résistance d’un mot de passe
• Guide des mots de passe
  
• Force d’un mot de passe
• Outils pour cracker des mots de passe

•  Il ne faut pas utiliser le même mot de passe sur plusieurs comptes différents.  Si un site est compromis par un pirate et qu’il arrive à récupérer votre mot de passe, la première chose qu’il fera sera de l’essayer sur vos autres sites (banque, réseaux sociaux, messagerie, ….). 
• N’hésitez pas à activer l’authentification à deux facteurs ou le contrôle biométrique partout où il est possible de le faire, ils apportent chacun une sécurité supplémentaire.
• Changez régulièrement de mot de passe (tous les 3 mois par exemple. Si un site est compromis, vous aurez peut-être une chance que le mot de passe soit changé avant qu’un pirate exploite la compromission.
• Utilisez un logiciel de gestion de mot de passe pour vous faciliter la tâche et désactivez celui des navigateurs qui en général n’apporte pas de protection satisfaisante et peut-être même dangereux. Voir l'article sur le logiciel KeePass, (dont téléchargement et fichier de traduction en français).

La messagerie, des données sensibles

La messagerie est une cible privilégiée des pirates.

• N’hésitez pas à ouvrir plusieurs comptes de messagerie différents que vous spécialiserez pour vos achats, vos correspondances personnelles, votre gestion, vos réseaux sociaux. Vous répartirez ainsi les risques.
• Attachez une importance particulière aux mots de passe de vos messageries.
• Ne conservez pas et ne transmettez pas des documents sensibles dans vos mail (pièces d’identité, mots de passe, identifiants, …). En cas de piratage de votre boite mail vous risquez d’être victime plus tard d’un vol et d’une usurpation d’identité, ce qui peut être très grave. L'usurpation d'identité est la prise d'identité d'une autre personne pour réaliser en son nom des actions frauduleuses commerciales, civiles ou pénales comme des emprunts, des détournements de fonds.
• Méfiez-vous des pièces jointes. En particulier, ne jamais ouvrir les pièces jointes qui possèdent des extensions comme : .pif, .com ; .bat ; .exe ; .vbs ; .lnk…. Ces documents sont des exécutables qui contiennent souvent des malwares qui se lancent quand vous les ouvrez.
• Ne jamais cliquer sur un lien dans un email vous demandant de vous authentifier. Vos identifiants et mots de passe ou autres seraient enregistrés sur un faux site et exploités à vos dépends. Voir cet article : Mon e-mail a-t-il été piraté ? Vérifier, quoi faire ?
• N’ayez pas une confiance aveugle dans le nom de l’expéditeur d’un courriel. Son nom ou son adresse ont pu être usurpés ou modifiés.
• Ne répondez jamais à une demande d’informations confidentielles. Lorsqu’elles sont légitimes, ces demandes ne sont jamais faites par courriel (demandes de mots de passe, codes, données bancaires, etc.).
• Passez votre souris au-dessus des liens, regardez bien les adresses d’expéditeurs, faites attention aux caractères accentués dans le texte ainsi qu’à la qualité du français utilisé pour juger de l’authenticité d’un courriel.
• Paramétrez correctement votre logiciel de messagerie pour désactiver la prévisualisation automatique des courriels et des photos, activez la protection antispam. Si vous êtes dans un environnement sensible, paramétrez votre messagerie pour afficher les messages en format texte.

Consultez ce guide sur les mesures de prévention relatives à la messagerie

Faites des sauvegardes

Très important : effectuez des sauvegardes régulières de vos données et testez régulièrement leur restauration.

Vos données (photos, archives, documents administratifs, …) constituent votre patrimoine numérique. Pour une entreprise les données sont essentielles à son bon fonctionnement.

La sauvegarde en ligne, automatique, cryptée, sur plusieurs supports différents (disques externes, serveurs, cloud) pour être redondante, est le meilleur moyen de garantir une restauration complète des données et d’assurer, en plus d’une sécurité et d’une confidentialité totale, une reprise rapide d’activité en cas de catastrophe.

 Consultez ces articles : Sauvegarder facilement ses données avec SynkBackFree  et plus généralement les articles de la catégorie Sauvegarder. 

Utilisez des navigateurs qui protègent votre vie privée, surfez prudemment sur Internet

• Des navigateurs comme Mozilla Firefox, Brave et d’autres apportent une attention particulière à la protection des données. Leurs paramétrages permettent d’éviter le pistage et les traqueurs intersites, de renforcer la navigation privée. Ils autorisent l’installation de plugins comme des bloqueurs de publicité et de cookies ou d’autres programmes qui améliorent la sécurité et l’anonymat. Le navigateur Opéra inclut un VPN gratuit.

• N’hésitez pas à consulter l’aide de votre navigateur pour connaitre les paramétrages qui améliorent la sécurité et la confidentialité des données.

• Soyez prudent quand vous surfez sur internet. Regardez cette vidéo qui vous indiquera comment vérifier que vous êtes sur un site fiable.

• Si vous devez vous rendre sur des sites dont vous n’êtes pas sûr, utilisez une machine virtuelle ou une SandBox pour limiter les risques. Voir l’article Lancez vos applications Windows en toute sécurité avec Sandboxie
• Téléchargez des programmes uniquement sur des sites officiels. Les téléchargements sur des sites non officiels contiennent souvent des virus malveillants. Désactivez les cases proposant d’installer des logiciels complémentaires.

• Pour analyser un fichier téléchargé, rendez vous sur le site VirusTotal. Déposez votre fichier sur ce site, il sera analysé par de nombreux antivirus et les résultats vous seront présentés.

• N’utilisez pas des intermédiaires comme Facebook ou Twitter pour vous connecter sur un site. A revient à confier les clés de votre maison à des inconnus.

Utilisez un antivirus et un pare-feu

• L’antivirus est la première barrière de protection de votre ordinateur ou de votre smartphone.

• Bien qu’il possède l'inconvénient de ralentir le système et parfois de bloquer intempestivement certains logiciels qu'il assimile à tort comme une menace, il n’en reste pas moins indispensable.

• L’avantage principal d’un antivirus est d’empêcher l’installation d’un malware sur un ordinateur. Une fois installé l’antivirus détecte automatiquement les tentatives d’intrusion, de manière plus ou moins efficace selon le l’antivirus choisi. Il existe en effet des antivirus plus performants que d’autres, et il faut faire le bon choix en fonction de l’utilisation que l’on fait de son ordinateur.

• Visitez ce site pour avoir une idée des meilleurs antivirus existants. Vous pourrez noter au passage que l’anti-virus de Windows, installé par défaut est performant.

• Si les antivirus gratuits offrent des protections satisfaisantes, il peut être intéressant d’investir dans une suite de sécurité qui offre une couverture sur un maximum de menaces possibles et d’autres fonctionnalités de sécurité supplémentaires comme :

• Un pare-feu logiciel complet,

• Des mises à jour automatiques biquotidiennes.

• Un VPN pour protéger vos communications et transferts de données.

• Un surf plus sécurisé en interdisant les pistages et en bloquant des sites dangereux.

• Une protection renforcée pour vos opération bancaires ou autres sites sensibles.

• Une meilleure surveillance et protection de votre réseau local et de vos connexions.

• Une analyse et des conseils de paramétrages de sécurité de votre système.

• Une protection des données accrue grâces à des fonctionnalité de cryptage, de sauvegarde, de diagnostic, de protection de saisies des données.

• Une surveillance de vos applications et des mises à jour nécessaires.

• La possibilité de bloquer un smartphone à distance en cas de perte ou de vol, d’effacer ses données, de le localiser ou de prendre des photos et de vous les envoyer afin d’identifier la personne qui vous l’a volé.

• ….

Note : Il faut avoir confiance à l’éditeur de son anti-virus et avoir conscience qu’un antivirus est aussi un logiciel qui recueille des données. Par définition et pas construction votre antivirus a un accès total à votre machine. Il transmet régulièrement à l’éditeur un état de votre ordinateur et les fichiers compromis éventuels pour analyse. L’éditeur peut potentiellement récupérer n’importe quel fichier et information de votre machine.

Mettez à jour votre système d’exploitation et vos logiciels installés

• Effectuez des mises à jour logicielles régulières ou automatiques.
• Microsoft, Apple, les distribution Linux et les éditeurs de logiciels, proposent régulièrement des mises à jour qui sont souvent des correctifs de sécurité et de bug.
• La plupart des piratages pourraient être évités avec des logiciels, des systèmes et des pilotes à jour.
• Les pirates exploitent souvent les failles de sécurité des logiciels déjà installés pour s’introduire dans vos machines
• Java, Adobe Flash, les navigateurs internet font régulièrement l’objet de corrections de failles logicielles. 
  

Complétez votre système d’exploitation avec des logiciels de protection de vie privée 

On le sait, des systèmes comme Windows et d’autres logiciel recueillent eux aussi beaucoup de données. L’idéal est d’utiliser un système comme Linux. Sur Windows il existe plusieurs logiciels et paramétrages  qui permettent de limiter la fuite de données. Voir par exemple l’article sur ce site : Limitez l’espionnage de Windows avec W10Privacy. 

Chiffrez vos données

Chiffrez les données sensibles de vos machines  ou celles stockées sur le Web. En cas de vol de votre ordinateur ou de piratage, elles resteront protégées.

voir par exemple les articles Chiffrer des données avec VeraCrypt et Protection des données dans le Cloud avec Cryptomator.

Utilisez un compte utilisateur standard

Il existe deux principaux types de compte utilisateur dans Windows : le compte Administrateur et le compte standard. Par défaut, à l’installation Windows vous fait créer et utiliser un compte administrateur, contrairement à Linux qui par défaut utilise un compte standard et oblige à utiliser le mot de passe root (administrateur) pour chaque action nécessitant des privilèges particuliers.

Un compte administrateur a plus de droits qu’un compte standard.

• Les comptes standard peuvent utiliser la plupart des logiciels et modifier les paramètres système qui n’affectent pas d’autres utilisateurs ou la sécurité du PC.
• Les administrateurs ont un contrôle total du PC. Ils peuvent modifier tous les paramètres et accéder à l’ensemble des fichiers et programmes stockés sur le PC.

Si vous définissez un compte standard et que vous l’utilisez, vous devrez alors entrer le mot de passe de l’administrateur notamment à chaque :

• Installation ou désinstallation d’un logiciel ou pilote de périphérique.
• Suppression ou modification d’un fichier système.
• Modification de paramètre système.
• Paramétrage de votre antivirus.

L’utilisation d’un compte standard  peut éviter quelques erreurs fatales  comme la suppression ou la modification d’un fichier système. C’est par ailleurs une protection supplémentaire pour éviter la propagation d’un virus ou d’un ver. Avec un compte standard un malware sera parfois obligé de demander une autorisation avant de se répandre sur votre machine et en tout cas aura moins de chance de faire des dégâts que s’il agit sur un compte administrateur bénéficiant de tous les privilèges.

Voir cet article Créer et gérer des comptes utilisateurs Windows10

Sécurisez votre réseau et vos connexions

•  Sécurisez l’accès Wifi, désactivez en permanence toute connexion inutile, qu’il s’agisse du wifi ou du Bluetooth. Limitez les interactions avec du matériel ou des réseaux publics, qu’il s’agisse de connexion internet, de rechargement d’appareils ou de communication entre des appareils (téléphone, clé USB).
•  Paramétrez votre Box pour éviter les intrusions. Éteignez-la quand vous ne l’utilisez pas.
• Ne faites pas confiance aux réseaux publics (hôtels, aéroports, gares, restaurants) et utilisez une connexion VPN. Si vous n’avez pas de VPN, à l’extérieur, le plus sûr reste d’utiliser une connexion personnelle 3G ou 4G (voir l’article Créer un point d’accès Wi-Fi avec un smartphone ou un PC sur ce site).
• Lorsque le recours au wifi public ne peut être évité, limitez au maximum son utilisation et ne consultez que des documents non sensibles.
• Évitez de brancher votre smartphone sur des prises inconnues pour le recharger. N’oubliez pas qu’un réseau électrique peut aussi transporter des données (voir l’article Réseau électrique et informatique).

Soyez aussi prudent avec un smartphone ou une tablette qu’avec un ordinateur

• Les outils nomades (Smartphones ou tablettes) sont très peu sécurisés. N’hésitez pas à les équiper d’un antivirus payant qui vous offrira en plus des protections contre le vol.
• En plus du code PIN qui protège la carte du smartphone, utilisez un mot de passe pour sécuriser l’accès au terminal ou configurer un verrouillage automatique.

En guise de conclusion

n’oubliez pas que la principale faille de sécurité c’est vous-même : votre inattention, votre manque de vigilance, vos erreurs …

La sécurité des données personnelle est devenue un enjeu majeur qui devrait concerner chaque utilisateur. La multiplication des objets connectés plus ou moins bien protégés et protégeables augmente la problématique de la protection des données informatiques en raison de leur utilisation pour des attaques sur des cibles plus importantes.

La sécurité de vos données et les bonnes pratiques qu’elle impose ne doivent pas être ressenties comme des contraintes laborieuses et déplaisantes mais comme des actions de nature à vous éviter de graves ennuis et de mieux vous protéger et vous relever en cas d’attaque.