Malheureusement pour vous, la majeure partie des gens qui interviennent sur ce sujet en tant "qu'experts" ne sont que des utilisateurs de programmes, programmes qu'ils ont, de surcroît, rarement crées eux même et qu'ils se contentent d'utiliser sans en comprendre tous les mécanismes.
Aujourd'hui, je vais donc mettre les pieds dans le plat pour votre plus grand plaisir ( ou votre plus grand ennui si pour vous l'informatique se résume a aller sur internet et regarder 2-3 films ).
I - Sécuriser un ordinateur
1 - Pour quoi faire ?
Sécuriser un ordinateur n'est pas d'une grande nécessité pour un utilisateur courant. Si votre utilisation de l'informatique se limite à la consultation d'internet et au visionnage de films, vous n'aurez besoin que d'une sécurité faible qui se limitera à un antivirus, un bloqueur de publicités, un firewall ( et encore, le firewall.... vous vous en passerez très bien ).
Par contre dans le cadre d'une entreprise travaillant avec des données sensibles ( milieu d'affaires, secteur informatique, armement, recherche, énergie, etc ) vous aurez à vous protéger d'intrusions pouvant venir de concurrents voire de vilains hackers.
Reste 2 catégories de personnes qui peuvent avoir un besoin de sécurité accrue :
- les criminels ( qui utilisent leur ordinateur pour une part ou toutes leurs activités illégales )
- les hackers ( qui à force de voir ce qu'ils peuvent faire ont une idée très précise des risques encourus )
Voilà, si vous ne faites pas partie des 3 dernières catégories, vous n'aurez ni besoin d'une sécurité en béton armée, ni besoin de crypter vos messages. Ce n'est pas que vous ne risquez pas d'être surveillé ou que vos messages ne risquent pas d'être interceptés mais c'est que le contenu de votre PC et de vos échanges n'intéressera personne ( à part peut être votre femme si elle croît que vous la trompez ).
Je vais donc dans la suite de ce post considérer que vous êtes un utilisateur lambda qui ne télécharge pas les pièces jointes des mails de gens qu'il ne connaît pas, qui ne télécharge pas n'importe quoi sur la mule et qui ne va pas sur le darknet. ( 95 % des utilisateurs de l'informatique en gros )
2 - Avec quels outils ?
Première erreur !
IL N'Y A PAS D'OUTILS FIABLES à 100% POUR SÉCURISER UN ORDINATEUR.
La base de la sécurité informatique repose sur un principe simple :
Une personne trouve une faille dans un système d'exploitation, un logiciel et l'utilise pour effectuer une action qui n'était pas prévue. L'entreprise qui a crée ce système d'exploitation / ce programme réagit en sortant un patch pour "sécuriser la faille"
Pour vous donner un exemple c'est comme si vous achetiez une bouteille d'eau percée et que quand vous vous en rendez compte, le fabriquant vous dit où trouver un bout de scotch à mettre sur le trou. Rassurant n'est ce pas ?
Heureusement il y a tout de même des logiciels pour limiter la casse.
- L'antivirus :
Si vous êtes sur windows, contentez vous de microsoft security essential qui fait bien le boulot, sera mis a jour encore longtemps et est géré correctement par une équipe qui en plus connait très bien son environnement de travail
Si vous tenez à payer pour un antivirus, tournez vous vers Kaspersky. Vous bénéficierez d'un système antivirus à la pointe de la technologie. Attention cependant il est un peu lourd et pompera pas mal de ressources ( il adore la ram et le fichier d'échange. Si vous avez 8 Go de ddr3 et un gros SSD pour votre OS, vous pouvez y aller les yeux fermés, sinon prenez en un plus léger ).
ÉVITEZ LES AVG / NORTON / AVAST /COMODO et compagnie qui tiennent plus de l'usine à gaz que de l'antivirus.
A noter : si vous ne téléchargez pas n'importe quoi votre antivirus ne servira à rien.
Si vous avez encore un windows XP ou 2000, ce bon vieux Nod32 fera amplement l'affaire. En plus il est léger
Si vous êtes sur Linux, un antivirus à peu d'utilité puisqu'il y a très peu de virus pour cette famille de systèmes d'exploitation.
- L'anti spyware :
Contrairement à ce que beaucoup répètent les anti spyware sont rarement utiles. En effet, il est loin derrière nous le temps où des guignols s'amusaient à programmer ce genre de rats. Si vous tenez à en avoir un, prenez Malwarebyte anti-malware qui est le seul à être "efficace" contre les vieux malwares mais se révèle tout à fait inefficace contre les plus avancés.
ÉVITEZ SPYBOT ET SUPER ANTI SPYWARE QUI NE DÉTECTENT RIEN ET NE CORRIGENT RIEN
- le firewall :
Il ne sert qu'à éviter qu'un logiciel de votre ordinateur communique via internet avec un serveur. Si vous n'installez pas n'importe quoi comme programme sur votre PC ( les plus grosses backdoors actuellement viennent des jeux crackés
) vous n'en aurez JAMAIS besoin. Si vous utilisez beaucoup la mule, il devient un programme OBLIGATOIRE à mettre sur votre PC. Heureusement pour les utilisateurs de windows, il y en a un intégré à votre ordinateur ( windaube 7, 8 et 10) qui fera amplement l'affaire. Encore une fois, il est gratuit et est développé par des gens qui connaissent son environnement de travail. Pour les linuxiens, IPcop fera bien le boulot pour une utilisation standard de votre pc avec un réseau classique ( wifi / lan ). Si vous commencez à jouer avec des VPN son paramétrage devient ardu ( mais bon, vous avez voulu un vpn alors c'est que vous aimez vous compliquer la tâche
)- le bloqueur de pubs :
Outil suprême pour ne pas ralentir votre connexion internet et surtout ne pas vous manger des pages et des pages de pubs il est obligatoire.
Pour firefox, le plus connu est ADblock, mais suite à des accords commerciaux il ne bloque plus certains domaines de pub ( hé oui... l'argent.... ). De surcroît son utilisation massive à justifié le financement de solutions pour contourner son fonctionnement. Oubliez-le et passez à Ublock Origin qui fera très très bien le boulot
Voilà votre PC est "sécurisé"... Enfin contre la vie de tous les jours.
Vous n’êtes pas à l'abri de failles de sécurité des suites adobe de la console java ou de votre pack office... Mais là c'est à vous de mettre à jour vos logiciels de temps en temps.
3 - Contre qui ?
Mais c'est vrai çà ! Qui c'est le vilain qui veux du mal au tas de ferraille qui trône dans le salon ?
Je vais essayer de faire simple mais c'est une question très complexe. Je classe les attaquants en plusieurs catégories et par ordre de fréquence d'attaque du plus courant au moins courant.
- 1 - les entreprises privées / les partis politiques : elles cherchent vos habitudes de consommations, vos idéologies, le nom de votre chien, le lieu de vos dernières vacances.
Étrange ? Oui... mais c'est juste pour mieux vous cibler avec de la publicité. D'ailleurs leur meilleurs amis se nomment google et facebook et ils ne piratent pas grand chose au final puisque vous leur donnez vous même les informations qu'ils veulent...
- 2 - le lamer : C'est une personne qui est tombé sur un logiciel qui fait la majeure partie du boulot tout seul ( et y'en a plein ) qui ne comprends pas bien les tenants et aboutissants du truc mais qui veut épater ses copains ou utiliser un service payant sur internet alors que sa maman lui donne pas assez d'argent de poche pour le faire. Il en veux à votre compte premium 1fichier, à votre compte steam.... En réalité il ne touchera jamais directement à votre ordinateur mais juste à vos données en ligne.
- 3 - le cracker : C'est un lamer qui a grandi. Maintenant il ne veux plus accéder à Dorcel.com avec votre compte premium, il veux carrément se payer un billet d'avion pour aller en Italie. Bon.... il finira en tôle et votre banque vous remboursera. Oui le cracker a trouvé les outils, s'est intéressé vaguement à leur fonctionnement mais n'a pas compris que se faire livrer les billets chez sa maman ( chez qui il vit encore ) était une preuve de son implication directe. Avec un peu de bol il aura un poster des plages italiennes sur le mur de sa cellule. Avec un peu moins de bol, son codétenu en aura pris pour 10 ans et le trouvera à son goût pour une Passionata revisitée sauce Fleury Mérogis...
- 4 - Le psychopathe : Vous vous êtes fait le mauvais ennemi sur un forum ? Le mec à décidé de vous pourrir le vie ? Il va commencer par chercher tout ce que vous avez pu écrire sur internet, puis votre ou vos adresses e-mails, puis votre véritable adresse. Enfin il va vous envoyer un chat écrasé dans une boite à chaussure... Bah déjà faut pas la jouer intouchable, derrière votre écran certains arriveront a savoir qui vous êtes, ce que vous faites de votre vie.... Donc un minimum de respect pour les autres vous évitera de devoir gérer ce fou furieux dans votre vie réelle qui s'en passerait très bien. Mais en dehors de çà, ils restent assez inoffensifs... Surtout pour votre ordinateur
- 5 - les officines gouvernementales : Elles cherchent des preuves de votre implication dans telle ou telle action engagée voire carrément dans un crime. Si vous ne faites rien d'illégal, vous n'avez rien à craindre d'eux. Les écoutes de masse sont toujours sensées être interdites partout dans le monde ( sauf en Corée du Nord, en Chine, aux USA, en Russie, etc )
- 6 - le vilain méchant hacker : Ca y'est le vilain est dans la place ! Ah.... en fait non. Lui vous ne l'intéresserez jamais ou presque. S'il passe par votre machine c'est pour lancer une attaque depuis celle-ci vers une autre machine et ne pas pouvoir être tracé. Ainsi quand son attaque sera découverte vous passerez pour l'instigateur de cette attaque. Enfin, ca c'est la théorie. Dans les faits, tout white hat qui se respecte sait pertinemment qu'un black hat couvre ses traces. S'il ne le fait pas c'est un lamer ou un cracker
.Petite précision :
- Black hat : hacker qui pirate des systèmes pour en tirer un profit.
- White hat : hacker qui pirate des systèmes pour découvrir des failles puis les colmater.
Voilà, on a fait le tour de votre PC, de sa sécurité, maintenant on va passer au reste.
II - Sécuriser ses données
La particularité de l'informatique de ses 20 dernières années c'est qu'au final bien peu de choses se passent réellement sur votre ordinateur. La majorité de votre activité informatique se fera sur internet. Et là il n'y aura pas de programme miracle pour vous empêcher de faire n'importe quoi, c'est à vous de faire attention.
1 - les réseaux sociaux
Si à priori partager sur internet des informations de touts les jours sur votre page facebook ne pose aucun problème, en réalité quelques personnes mal intentionnées peuvent en tirer profit. On a vu précédemment que des entreprises privées peuvent les utiliser pour vous cibler avec de la publicité ou qu'un parti politique peut inciter ses militants à venir vous démarcher pour voter pour un candidat à une élection mais il y a des gens bien moins inoffensifs.
Par exemple parler de ses futures vacances ou poster des photos de vos vacances actuelles à 7000 km de chez vous ça peut être le déclencheur pour un cambriolage...
De même parler d'aller braquer une banque peut vous amener à avoir un comité de réception un peu plus gros qu'escompté...
Partager une info sur la teuf illégale à laquelle vous vous rendez ce week end est le meilleur moyen de devoir changer de terrain au dernier moment voire de faire annuler la soirée ( en France y'a une équipe des RG chargée de surveiller spécifiquement les réseaux sociaux pour ce point particulier.... )
Comme pour les films américains, tout ce que vous direz sur face de bouc pourra et sera retenu contre vous. A vous donc de ne pas partager n'importe quoi, surtout si vous collectionnez les amis que vous ne connaissez au final que très peu.
IMPORTANT : NE DONNEZ JAMAIS VOTRE ADRESSE SUR INTERNET ! ( sauf pour l'achat en ligne forcément... )
2 - les e-mails
Le nerf de la guerre de la sécurité sur internet passe par ces fameux e-mails. Le sujet est tellement vaste qu'il ne suffirait pas d'une vie pour tout aborder. Je vais donc me contenter de vous donner une fraction de la méthode que j'utilise même si elle n'est pas parfaite. Au moins elle est sécurisée à 80%.
- Avoir plusieurs adresses e-mails + Avoir plusieurs pseudonymes et mots de passe. :
Par exemple vous vous intéressez aux sports mécaniques, à la peinture acrylique , à l'élevage de hanneton et au casanis. Créez donc au moins 3 adresses e-mail sur 3 serveurs mails différents.
La première que l'on dira "officielle" : ( pseudo : Nom prénom / mot de passe : le nom de mon chien suivi du nom de jeune fille de ma femme + un caractère bizarre + l'année de naissance de ma tante berthe et encore 2 caractères étranges à la fin )
Vous servira EXCLUSIVEMENT à communiquer avec les différents organismes pour gérer l'administratif ( impôts, pole emploi, l'école de votre petit dernier, etc ). Celle fournie avec votre fournisseur d'accès pourra suffire si vous ne comptez jamais changer de fournisseur d'accès...
La seconde que l'on dira "sociale" : ( pseudo : votre pseudo / mot de passe : le nom de mon chat suivi du nom de jeune fille de ma mère + un caractère bizarre + l'année de naissance de ma tonton Georges et encore 2 caractères étranges à la fin )
Vous servira à communiquer avec votre famille, à vous inscrire sur les différents sites spécialisés dans l'élevage de hannetons, sur la peinture acrylique, sur les sports mécaniques, etc.
La troisième que l'on appellera "poubelle" : ( pseudo : un pseudo à la mords moi le noeud / mot de passe : un truc facile à retenir avec 2-3 caractères spéciaux )
Vous servira à vous inscrire sur tous les sites auxquels vous vouez une confiance limitée voire nulle. Ainsi que tout ce qui a trait à votre penchant pour le casanis ( ALCOOLIQUE VA ! ).
Et vu que vous avez oublié de préciser que vous avez encore un penchant moins avouable pour les schtroumphettes en levrette créez en une quatrième que l'on appellera "déchetterie" : ( pseudo : schtroumphetteaddict / mot de passe : tciddaettehpmuorthcs )
Un site qui va vous noyer sous la pub vous demande votre e-mail pour afficher une photo de schtroumphette ? Donnez lui celle là. De toutes façons vous ne la vérifierez presque jamais
C'est bien beau tout çà mais vous vous retrouvez avec plein d'adresses mail à vérifier... Pas de panique !
Si vous utilisez outlook/thunderbird/etc vous pouvez les paramétrer pour qu'ils vérifient plusieurs adresses mails. Vous pouvez même mettre en place des règles pour qu'il classent les mails dans différents dossiers afin de faciliter la lecture.
Si vous ne voulez pas vous embêter avec un logiciel sur votre ordinateur, le petit module "Xnotifier" pour firefox fera très bien le boulot
- Gérer les pseudos / mots de passe :
C'est bien d'avoir plusieurs mails, pseudos et plusieurs mots de passe. Mais le jour où vous virez le programme de gestion des mails, vous vous retrouvez comme un cou..... à ne plus pouvoir accéder à rien du tout. NOTEZ LES DANS UN CARNET QUE VOUS GARDEZ SOUS CLEF LOIN DES YEUX DE TOUS ( ni sous le matelas ni sur les armoires, si un cambrioleur y accède un jour il peux vous voler plus que ce que vous avez dans votre maison... ).
Si vous utilisez votre mail "social" pour vous inscrire facebook, ne mettez PAS le même mot de passe sur FB et sur votre mail
.Une astuce consiste à utiliser un pseudo par centre d'intérêt. Celui que vous avez choisi pour l'e-mail que vous utiliserez pour vous inscrire sur le site X ou Y fera bien l'affaire. Pour le mot de passe par contre, ca ne DEVRA PAS être le même. JAMAIS.
Pour pallier à la schizophrénie qui vous guette, choisissez un seul mot de passe pour tous le sites où il n'y a pas d'informations importantes pour vous et gardez le bien en mémoire ( un anagramme de votre nom de famille est une mauvaise idée mais un anagramme de votre troisième prénom sera déjà moins facile à trouver pour autrui surtout si vous ajoutez un nombre et un caractère spécial ).
Et surtout notez dans votre carnet les sites / logins / mot de passe que vous utilisez ça vous évitera de galérer lors de vos connections.
3 - les clouds
Fausse innovation technologique des ces dernières années, derrière cet anglicisme se cache en fait un bête serveur ftp avec une interface à peine améliorée. La différence principale sera que vous serez des milliers à partager le même serveur quand avant un ftp servait pour une dizaine voire une centaine de personnes. Le problème que cela soulève est que désormais il ne suffit plus que de récupérer les logins et mot de passes des cibles qu'on souhaite pirater. Avant il fallait trouver sur quel ftp privé trouver sa cible. Les lamers et crackers vous remercient de leur faciliter la tâche
Mais on va leur compliquer....Sur ces fameux clouds vous pouvez stocker ce que vous voulez mais évitez absolument :
- les scans de vos CB / carte d'identité / permis de conduire / extrait d'acte de naissance / autres documents administratifs officiels. Si quelqu'un met la main la dessus il pourra faire de vrais papiers à votre nom pour son compte.... Et les vrais / faux papiers ca se revends très très bien....
- tout document comportant votre adresse postale, les adresses de vos proches, etc.
- des photos d'enfants ( je veux pas vous faire peur, mais des photos d'enfant, ca n'a rien à foutre sur internet )
- des photos de votre maison ( aspect extérieur / agencement intérieur / bibelots ) Ne facilitez pas la tâche à d'éventuel cambrioleurs.
Une fois tout ceci retiré du cloud.... il vous reste à stocker.... euh... rien.
Par contre tout ce qui est à éviter de stocker sur le cloud peut être gravé sur un cd / dvd et mis avec votre carnet de mots de passe
Au cas où...4 - tous les autres sites
Pas grand chose à dire pour l'ensemble des autres sites à part qu'on va les diviser en 2 catégories :
- les sites marchands :
Vous êtes susceptibles d'y acheter quelque chose ? Utilisez votre adresse mail sociale pour vous inscrire et donnez leur votre véritable identité ainsi que votre vraie adresse.
- les sites non marchands :
Ils n'ont rien besoin de savoir sur vous. Votre adresse mail "poubelle" devrait faire l'affaire ou au pire votre "sociable" ( s'il ne risque pas de vous noyer sous les mails inutiles
) Ne leur donnez pas d'informations sur vous ou mentez leur ! ( comment çà je peux pas habiter sur la Lune ? T'es sûr ? )Voilà, on a fait le tour des données que vous laissez sur internet. On appelle aussi ça les traces. Ne pas en laisser relève du parcours du combattant. Mais si vous suivez ce qui est écrit au dessus, ca sera un parcours du combattant pour les compiler et les utiliser contre vous.
