Sécurité informatique domestique

Nous allons tout au long de cet article balayer les différents aspects de la sécurité informatique « domestique » . Vous pouvez lire cet article dans son intégralité ou sauter directement au paragraphe qui vous intéresse

• Votre ordinateur
• Votre comportement sur internet
• Le respect de la vie privée
• Politique de mot de passe
• Une attention particulière au compte mail
• Votre téléphone.

Votre ordinateur

L’accès

Votre ordinateur renferme des informations personnelles que vous ne souhaitez pas perdre ou voir divulguées.  La première chose à faire donc est de protéger l’accès à cet ordinateur. Un mot de passe est donc nécessaire, il ne doit pas être trop simple pour ne pas être deviné alors choisissez une phrase, un poème, prenez la première ou la nième lettre de chaque mot et alternez minuscules, majuscules, chiffres et un ou deux caractères spéciaux.

 

Le disque dur

Cela fait, vous avez sécurisé l’outil d’accès aux informations (votre ordinateur), mais pas les informations elles même. N’importe qui peut retirer le disque dur de votre ordinateur, le brancher sur le sien et accéder à vos informations. Il faut pour éviter cela chiffrer votre disque dur. Les OS modernes proposent nativement cette option, Windows 10 par exemple avec Bitlocker.

L’antivirus et les mises à jour

Vos données ne doivent pas pouvoir être lues, modifiées ou supprimées par un logiciel malveillant. Un antivirus est absolument nécessaire et il doit être régulièrement mis à jour pour récupérer les dernières signatures de virus. La sécurité intégrée à W10 fait parfaitement l’affaire, point n’est besoin d’installer un autre antivirus.

De nouvelles failles sont découvertes régulièrement et les éditeurs proposent des mises à jour pour les corriger. Installez-les au plus vite et ne bloquez pas les options de mise à jour automatiques présentes sur W10 par exemple.

L’usage ponctuel d’outils comme Adwcleaner permettent de supprimer nombre de logiciels qui sans être de vrais virus malveillants ralentissent votre ordinateur avec des publicités intempestives et des programmes non souhaités (cf chapitre téléchargement sur l’attention aux options lors de l’installation de programmes).

Les sauvegardes

Vos données peuvent aussi être perdues suite à un incident matériel. Cet incident peut concerner votre ordinateur lui-même ou votre habitat (vol ou autre désastre).

Pour cela la solution est la sauvegarde. Celle-ci devrait être faite localement, chez vous sur un disque dur externe USB ou sur un NAS (qui est un disque dur ou un groupe de disques connecté au réseau), mais aussi externalisée pour contrer un vol par exemple. De nombreux logiciels permettent de faire des sauvegardes régulières de façon automatique, nous y reviendrons si le sujet vous intéresse.

L’externalisation peut être physique, en déposant une copie régulièrement chez un ami par exemple. La chose est néanmoins assez contraignante. Une solution NAS externalisée peut être envisagée :  cette solution permet de sauvegarder à l’extérieur sans les contraintes d’une sauvegarde physique mais avec la contrainte de confiance dans une tierce personne (amis, famille). L’alternative est une sauvegarde dématérialisée sur un cloud. Le choix du fournisseur de service est primordial, il doit offrir la possibilité de chiffrement coté client, répondre aux exigences RGPD (attention au Cloud Act américain) et offrir la garantie d’une certaine pérennité.

Il ne faut pas confondre non plus la sauvegarde (souvent historisée) et la synchronisation offerte par les « drives » des clouds Google et Microsoft entre autres. Ceux-ci sont un miroir de votre disque dur et dans la plupart des cas, une suppression sur ce disque se traduira par une suppression sur le « drive ». Adieu alors la restauration si l’effacement n’était pas intentionnel. De plus ces « drives » sont rarement chiffrés coté client.

Dernier point d’attention concernant votre ordinateur. Quand il ne répond plus à vos besoins et que vous vous en débarrassez d’une façon ou d’une autre, pensez aux données qu’il contient encore. Les effacer simplement sous Windows par exemple ne suffit pas. Windows n’efface pas les fichiers, il les désindexe. Tant que l’espace où se trouve le fichier n’a pas été réutilisé votre fichier existe toujours et il est facilement récupérable. Il faut utiliser des logiciels spécifiques qui réécrivent une suite de 0 sur les fichiers désindexés ou alors sortir le disque et le casser avec un marteau … (non, ce n’est pas une blague !)

Votre comportement

Le wifi chez vous

A la maison le Wifi est devenu la règle générale pour se connecter à son réseau local et à internet. La connexion est relativement sûre à la condition que votre wifi soit sécurisé par le bon protocole et un mot de passe digne de ce nom (voir règles mot de passe plus loin). Si ce n’est pas le cas, votre voisin ou quelqu’un dans une voiture stationnée devant chez vous peut se connecter à votre wifi et accéder aux données véhiculées par le wifi voire à votre ordinateur.

Le wifi public

A l’extérieur, il est tentant d’utiliser les wifi publics. Ces wifi comme leur nom l’indique sont ouverts à tous, et tous ceux qui s’y connectent peuvent avoir accès aux informations qui y transitent. La solution est d’utiliser un VPN qui, sur la connexion wifi publique, établit un tunnel sécurisé vers internet. Vos informations sont chiffrées et circulent via ce tunnel en toute sécurité. Il faut choisir un prestataire VPN de confiance, certainement payant, par exemple ProtonVPN.

Si l’utilisation d’un VPN vous rebute,  plutôt que de faire confiance au wifi de l’hôtel ou du MacDo, il est beaucoup plus sécurisé d’utiliser votre téléphone comme point d’accès Wifi pour accéder à internet depuis votre ordinateur si votre forfait 4G/5G vous le permet.

Les sites douteux

La recherche sur internet et le principe de sérendipité fait que l’on peut se retrouver sur des sites douteux. Pour éviter cela il est possible d’utiliser des DNS particuliers qui ne vous permettront pas la connexion à ces sites. Un DNS est un annuaire qui transforme le nom d’un site (www.monsitedouteux.com) en son adresse IP (123.456.789.123).  Les DNS qui vous protègent de la publicité et des malwares, suppriment ces sites de leurs annuaires et ne vous permettent donc pas d’y accéder. Pour mettre en œuvre ces DNS, il faut aller dans les paramètres de votre box internet et modifier l’adresse IP du DNS (vous pouvez le faire aussi sur votre ordinateur, mais seul cet appareil sera protégé. Plusieurs services sont disponibles gratuitement :

•       Chez Cloudflare : 1.1.1.2 ou 1.1.1.3   (https://blog.cloudflare.com/introducing-1-1-1-1-for-families/)
•       Chez AdGuard : 94.140.14.14 et 94.140.15.15 (https://kb.adguard.com/en/general/dns-providers#adguard-dns)
•       Chez Quad9 : 9.9.9.9  (https://www.quad9.net/fr)
•       Et bien d’autres ….

Le phishing

Malgré cela certains sites peuvent encore passer les mailles du filet et il faut être méfiant notamment dans l’ouverture des liens contenus dans les mails. Si vous ne connaissez pas l’émetteur, n’ouvrez pas les pièces jointes, ne cliquez pas sur les liens inclus dans le courrier. Et même si vous connaissez l’émetteur restez méfiant. Vérifiez bien que l’URL réelle du lien correspond bien à celle annoncée : En passant la souris dessus, la véritable url s’affiche (selon votre logiciel de mail). Dans le doute connectez-vous directement sur le site sans utiliser le lien. 

Vérifiez aussi que l’émetteur du mail est bien celui qu’il prétend être en faisant apparaitre l’adresse mail complète et non pas seulement le libellé de celle-ci. Soyez d’autant plus méfiant si les tournures de phrases et l’orthographe vous paraissent étranges.

Les téléchargements

Une autre porte d’entrée des virus et autres logiciels malveillants est le téléchargement. Evitez les plateformes de téléchargement et privilégiez les sites des éditeurs (on télécharge Acrobat Reader chez Adobe et pas sur MeilleursLogiciels.com !). A l’installation soyez attentifs aux options, n’installez que ce dont vous avez besoin, ça vous évitera de charger votre ordinateur et d’installer des « utilitaires » proches du malware (Adware).

Pour votre téléphone n’utilisez que les plateformes d’applications officielles, à savoir le Play Store pour Android et l’AppStore pour Apple.

Soyez attentifs à l’insertion de clés USB qui ne vous appartiennent pas. C’est un point d’entrée de virus, même à l’insu de la bonne foi du propriétaire de la clé !

Chrome et Firefox proposent dans les paramètres de sécurité une protection proactive contre les téléchargements, les extensions et les sites Web dangereux. Ils vous permettent aussi d’être averti en cas de piratage de mots de passe mais cela nécessite l’envoi des données de navigation à Google ou Mozilla et/ou l’utilisation du gestionnaire de mot de passe du navigateur (cf chapitre « gestionnaire de mot de passe »).

Le cloud

Un dernier point est l’utilisation du cloud. Difficile d’y échapper, la chose est pratique. Pensez que tout ce qui est sur le cloud peut être un jour perdu (la société disparait) ou volé (piratage). Donc, soit les données ne sont pas importantes, soit elles sont sauvegardées ailleurs et chiffrées. Idem pour les services en ligne du type conversion de fichiers ou transfert, vous ne savez pas ce qu’il advient de vos données contenues dans ces fichiers.

 Le paiement en ligne

La sécurité lors d’un paiement en ligne s’est grandement amélioré avec la quasi généralisation du processus 3D Secure qui met en place une sorte d’authentification forte (authentification à 2 facteurs, voire plus bas) lors de la validation de la transaction (envoi d’un code via SMS, validation par une application type Secur’Pass etc…), le tout sur une connexion chiffrée (SSL).

Le risque est plutôt chez le commerçant qui peut stocker vos informations de carte bancaire notamment pour vous faciliter un prochain achat ou renouveler un abonnement. Or vous ne savez pas quel est le niveau de sécurité de ce stockage et ce commerçant n’est pas à l’abri d’un piratage ou d’une malversation entrainant la divulgation de vos informations de paiement. Pour pallier ce problème, la Banque Populaire, la Caisse d’Epargne, le Crédit Mutuel mais aussi certainement d’autres banques proposent un service e-carte bleue. Ce service vous permet via une application de générer un numéro de carte bancaire qui ne sera valable qu’une seule fois et pour le montant max que vous aurez indiqué. Ces informations de paiement sont donc inutilisables par un pirate.

Le respect de la vie privée

Si vous vous êtes déjà demandé comment le site où vous consultez les actualités savait que vous recherchiez une nouvelle tondeuse à gazon, la réponse est dans les cookies tiers déposés sur votre ordinateur lors de vos visites internet chez Leroy Merlin et Castorama.

Sous ce nom appétissant se cache un gigantesque marché publicitaire dont vous êtes la cible. Lors du chargement de la page de votre site d’actualités se déroule en temps réel une mise aux enchères de l’espace publicitaire de ce site vis à vis des annonceurs qui à la vue de vos cookies tiers regardent ce qu’ils peuvent vous proposer. Et tout ça en 2 ou 300 millisecondes si tout va bien … voire un peu plus… et là c’est vous qui râlez car la page est longue à s’afficher !

La réglementation RGPD a imposé aux sites de laisser le choix à l’internaute d’accepter ou de refuser ces cookies tiers. (Le refus est quelquefois un peu compliqué voire interdit sauf à passer à un abonnement payant : marmiton.com, allociné etc…).

Cf Cnil et RGPD : https://www.cnil.fr/fr/rgpd-de-quoi-parle-t-on

Google à qui cette publicité rapporte beaucoup d’argent voit d’un mauvais œil la possibilité qui est laissée de refuser ces cookies, aussi réfléchit-il à la mise en œuvre du fingerprinting (pour simplifier une empreinte numérique qui indentifie votre ordinateur) et à la constitution de cohortes d’utilisateurs (FLoC) à qui il pourrait proposer de la publicité ciblée. Les publicitaires n’utiliseraient plus ainsi une information individuelle (le cookie) mais une cohorte pour cibler leur publicité. Ceci pour mieux nous protéger annonce Google, mais lui conserve la connaissance individuelle de qui est dans la cohorte …  (Aux dernières nouvelles, Google abandonnerait les cohortes au profit de Topics, une technologie où votre navigateur classerait en catégories les sites visités et fournirait aux annonceurs ces catégories pour qu’ils puissent vous afficher de la publicité ciblée sur vos centres d’intérêts)

Les navigateurs internet proposent nativement ou avec des extensions, des aides pour limiter ce suivi. Néanmoins il faut les activer ou les installer. Sur Chrome ou Firefox pour certains, vous pouvez installer les extensions suivantes : uBlock Origin, Cookie Autodelete, Privacy Badger et HTTPS Everywhere. Au fil des mises à jour, les fonctionnalités de ces extensions sont reprises dans les navigateurs, n’hésitez pas à aller dans les paramètres pour activer les options de confidentialité propres à votre navigateur.

Vous pouvez aussi utiliser un DNS alternatif (voir plus haut) qui en plus de bloquer les sites malveillants, pourra bloquer les domaines publicitaires. Votre navigation n’en sera que plus fluide.

Soyez attentifs aussi à qui vous laissez vos coordonnées :  nom, mail, adresse et téléphone. Ces données vous paraissent elles nécessaires pour le service qui sera rendu ? si non, passez votre chemin. Idem pour vos photos sur les réseaux sociaux.

Cf droit à l’image et droit d’auteur ; https://www.economie.gouv.fr/files/files/directions_services/apie/propriete_intellectuelle/publications/utiliser_contenu_etapes_essentielles.pdf

 

Politique de mot de passe

Quelques règles de base sur les mots de passe : 

1. Ne pas mettre un mot du dictionnaire, un prénom, votre date de naissance… toutes choses qui peuvent être devinées ou trouvées par ce qu’on appelle les attaques de « brute force » (brute force : l’attaquant essaye à l’aide d’un programme des dizaines de milliers de mots de passe issus d’un dictionnaire ou d’une liste).
2. Diversifier vos mots de passe. Ne pas utiliser un seul et unique mot de passe pour tous vos comptes. L’idéal étant un mot de passe pour chaque compte.
3. Un mot de passe doit comporter des lettres minuscules et majuscules, des chiffres, et des caractères spéciaux (;!/ etc…). Il ne devrait pas être inférieur à 16 caractères.
4. Même si les mots de passe sont rarement stockés en clair sur les sites que vous fréquentez, un vol de leurs bases de données utilisateurs est toujours possible, il faut donc changer régulièrement ses mots de passe.
   

Gestionnaire de mot de passe 

Retenir des dizaines de mots de passe constitués d’une suite aléatoire de plus de 16 caractères est impossible, aussi il existe des gestionnaires de mot de passe.

De mon point de vue, il faut exclure ceux qui sont le cloud même s’il est pratique de pouvoir les retrouver synchronisés sur tous les appareils.

Pour ma part j’utilise Keepass (https://keepass.info/) sur Windows et ses dérivés sur Android et IOS.  Les navigateurs comme Firefox proposent aussi un gestionnaire de mot de passe intégré. Si les options de synchronisation entre appareils proposées par le navigateur sont activées, vos mots de passe transitent sur internet (pas recommandé). A minima si vous utilisez ce gestionnaire de mots de passe, protégez en l’accès avec un mot de passe principal.

Si le nombre de mots de passe est limité et que vous ne souhaitez pas utiliser un gestionnaire de mot de passe, vous pouvez, pour créer et mémoriser un mot de passe, utiliser un poème ou une phrase, et ne retenir que les premières ou nièmes lettres de chaque mot, rajouter ponctuation et chiffres pour constituer un mot de passe solide.

Lire : https://greenlock.ghost.io/le-tableau-de-la-resistance-des-mots-de-passe/

L’authentification forte (ou authentification à deux facteurs)

L’authentification peut reposer sur trois choses :

1. Ce que l’on sait : un mot de passe par exemple
2. Ce que l’on possède : un téléphone, une clé (Ubikey par exemple), un badge, une carte magnétique …
3. Ce que l’on est : (empreinte digitale, iris, voix, visage etc…

On appelle authentification forte une authentification qui combine deux de ces 3 principes : par exemple, un mot de passe et une carte magnétique.  De nombreux sites ont mis en œuvre cette authentification forte, on parle alors souvent d’authentification à deux facteurs (2FA dans la littérature anglaise). 

Parmi les fournisseurs de mails, Outlook et Gmail, mais aussi Mailo, Posteo et ProtonMail entre autres, le proposent.

Les moyens les plus couramment utilisés pour le deuxième facteur d’authentification sont l’envoi par sms ou la génération par une application dédiée d’un mot de passe valable une seule fois et limité dans le temps (appelé en anglais OTP : One Time Password).

De récentes études ont montré qu’il était possible d’intercepter les sms (uniquement dans le cas d’attaques ciblées, c.a.d. vous personnellement), donc privilégiez la génération d’OTP par une application comme « Authenticator » chez Google ou chez Microsoft (privilégiez celle de Microsoft car l’accès est sécurisé). Ces applications respectent un standard et fonctionnent quel que soit le compte à sécuriser.

Au cours de la mise en œuvre, les sites proposent des codes de récupération et/ou une clé secrète, faites attention à bien les conservez. 

Une attention particulière au compte mail

Le point focal de votre sécurité sur internet est votre compte de messagerie. Si celui-ci est compromis, il est facile de réinitialiser tous vos autres accès sur d’autres sites. Vous ne devez jamais réutiliser le mot de passe de votre compte mail pour sécuriser un autre site. De plus, votre compte de messagerie doit impérativement vous proposer une authentification forte, si ce n’est pas le cas, changez-en !

Il est difficile de changer de mail mais rien ne vous empêche d’ouvrir un deuxième compte sécurisé et de l’utiliser dans votre correspondance et identification avec les sites sensibles.

Un complément de sécurité est d’utiliser des alias (tous les prestataires ne le proposent pas). Un alias est comme une autre adresse mail, mais tous les mails envoyés à ces alias arrivent dans la boite aux lettres principale. Cela permet d’affecter des adresses mails particulières selon vos besoins : correspondance privée, officielle, vente en ligne, associations etc… sans avoir à gérer une multitude d’accès. En cas de problème vous saurez d’où il vient et il est plus facile de changer ou de supprimer un alias qu’un compte mail. Cela protège aussi votre compte mail car si vous n’utilisez que des alias celui-ci n’est jamais divulgué.

Votre Téléphone

Les mêmes règles que pour un ordinateur s’appliquent à votre téléphone.  A ceci près que votre téléphone est encore plus exposé au vol que votre ordinateur et contient souvent encore plus d’infos personnelles. Votre téléphone doit donc impérativement utiliser un dispositif de verrouillage pour protéger son contenu (code PIN, empreinte digitale, reconnaissance faciale ; les cumuler pour être sûr de déverrouiller), vous devez faire les mises à jour du système et des applications, éviter d’utiliser les wifi publics sans VPN et privilégier l’authentification forte quand elle est disponible.

Dernier point, activez les options permettant de localiser un téléphone perdu et d’effacer son contenu à distance.