Antana

Et si nous vulgarisions un peu ce qu’est la « sécurité » informatique ?

Faire de la « vraie » sécurité n’est pas si facile car le maillon le plus important, mais malheureusement le plus vulnérable, c’est l’humain !

Les informaticiens pourront mettre toutes les plateformes ou techniques de sécurité en place, tant que l’utilisateur final ne respectera pas certaines règles, ou « gestes barrières » (pour utiliser des expressions à la mode !!!), vos outils informatiques seront vulnérables.

La sécurité passe par une hygiène informatique excessivement contraignante difficile à appliquer au quotidien. La sécurité informatique est vaste, c’est pourquoi, aujourd’hui, je vais vous aider à mieux comprendre les risques et vous expliquer de façon simple, quelques « gestes barrières » minimum à intégrer et respecter pour limiter les risques.

Quelques notions de piratage : le gentil et le méchant !

Je vais beaucoup employer le terme « Cracker » Vs le terme « Hacker » car il faut distinguer 2 grands types de « pirates » : Les Hackers et les Crackers. En effet le terme « Hackers » est devenu un terme générique pour parler de « piratage informatique » mais ce n’est pas totalement exact.

J’ai trouvé cette définition sur le net (waytolearnx.com) que j’aime bien :

« […] Un hacker est une personne intéressée par le fonctionnement mystérieux de tout système d’exploitation informatique. Les hackers sont le plus souvent des programmeurs. Ils pourraient découvrir des trous dans les systèmes et les raisons de ces trous. Ces pirates cherchent constamment de nouvelles connaissances, partagent librement ce qu’ils ont découvert et n’endommagent jamais intentionnellement les données. […] 

[…] Un cracker est une personne qui casse la sécurité des ordinateurs et des réseaux. C’est une activité illégale. Ils utilisent leurs connaissances pour réaliser des gains personnels et enfreindre la sécurité sur les réseaux. Ils acquièrent des connaissances approfondies sur les ordinateurs, leur programmation, leurs logiciels, leurs codes et leurs langages, et les utilisent pour percer dans les ordinateurs à des fins criminelles. […]

[…] En conclusion, le Hacker est une personne qui identifie les failles des systèmes de sécurité pour percer des systèmes informatiques.

Tandis que Cracker est quelqu’un qui exploite de manière non éthique les informations extrêmement sensibles et utilise les failles des systèmes de sécurité à son avantage. […]»

En gros, le Hacker est censé être gentil et le Cracker le méchant, mais dans un language plus « up to date » nous parlons maintenant de « White Hat » et de « Black Hat ».

Quelques chiffres en 2018/2019* :

*Sources : Cesin, Symantec, Small Business Trends, CPME, ZDNet, IBM, Varonis, Gallup, IT Governance, Accenture, Cibersecurity Ventures, Juniper Research, Clusif, L’Usine Nouvelle, Le Monde numérique, statista.

43% des cyberattaques visent les petites entreprises.

Seulement 17 % des PME sont assurées contre les attaques informatiques.

En janvier 2019, 1,76 milliards de dossiers ont déjà été piratés.

A ce jour, 9 575 440 453 comptes mails compromis sont recensés dans les bases du site haveibeenpwned.com.

Aucun texte alternatif pour cette image

Arrêtons donc de penser que :

  • Vos informations n’intéressent personnes,
  • Cela n’arrive qu’aux autres,
  • Un environnement Mac est plus sécurisé qu’un environnement PC,
  • Une solution antivirus gratuite est aussi performante qu’une solution payante. Et toutes les solutions payantes ne se valent pas.

La frontière informatique pro ou perso

Dans cette partie, je ne parle pas des anti-virus ni des plateformes anti-spam car ce n’est pas un sujet : il est impératif que tous vos ordinateurs Mac / PC etc. disposent d’un bon anti-virus qui est une des pierres angulaires de la sécurité et d’un bon anti-spam qui permettra de limiter l’arrivée de mail déjà identifié comme phishing.

Si nous réfléchissons bien, les données qui intéressent les crackers sont quasiment les mêmes. La seule différence est que leurs fuites n’auront pas le même impact ou les mêmes enjeux.

Prenons quelques exemples :

  • Piratage d’une messagerie pro / perso = même combat

Quelqu’un qui a accès à votre messagerie pro ou perso peut voir tout ce que vous recevez et envoyez. Cela permet aux crackers de collecter de l’information sur votre activité, votre vie, vos habitudes (sur quels sites vous faites des achats, vos centres d’intérêts, etc.). Autant d’informations qui permettront aux personnes malveillantes de les utiliser avec des méthodes de « Social engineering » pour vous duper en vous envoyant par exemple des mails très cibles tels qu’un suivi de livraison en lien avec une commande récente ou un règlement soi-disant mal finalisé pour un achat récent.

  • Piratage d’espace client = récupération de codes bancaires ou de cartes de paiement

Nous avons tous, plusieurs abonnements, Internet, téléphonie, services TV, etc. qui sont prélevés sur nos comptes. Ces informations permettraient à une personne malveillante, de faire des petits paiements en ligne, qui passent inaperçus, des montants réguliers comme ressemblant à des abonnements (29,90 € / mois)…

Un contrôle régulier de votre situation bancaire (rapprochement bancaire) est le seul moyen de s’en rendre compte. Les gros mouvements bancaires vous sauteraient tout de suite aux yeux ou « interpelleraient » les sécurités mises en place par les banques.

  • Usurpation d’identité = copie de papiers officiels (CIN, Passeport, Permis de conduire)

Avec toutes les formalités en ligne, il devient malheureusement plus simple de se faire passer pour quelqu’un sur des sites permettant l’immatriculation de votre véhicule, l’ouverture d’un compte en banque ou autres…

Bien souvent, les systèmes professionnels sont mieux protégés que les systèmes personnels. Les pirates le savent bien et en profitent pour attaquer les entreprises en passant par des boites mails personnelles ou des espaces client personnels de collaborateurs ou fournisseurs divers….

Les crackers sont devenus patients et discrets. Ils s’infiltrent, analysent afin de mieux cerner leurs victimes et en tirer les meilleurs profits. Vos données ont une valeur et ces personnes malveillantes en font un véritable business. En effet, sur le Darknet, vous pouvez trouver les offres suivantes* pour :

*Sources : Le Monde numérique, publié le 18 Octobre 2019

  • Un pack Nom / Prénom / date de naissance / Adresse / N° CB : 860,00 US$
  • Un passeport Américain : 18 US$
  • Un passeport Français : 45 US$

Maintenant que vous avez compris que l’hygiène informatique aura autant d’importance sur vos outils professionnels que personnels, essayons de comprendre quelles méthodes utilisent ces méchants pour mieux comprendre l’importance de nos gestes barrières.

Comment un pirate récupère-t-il concrètement mon adresse email ?

La méthode la plus souvent utilisée est issue de la récupération de données massives sur des sites internet grand public : Facebook / LinkedIn / Amazon / Darty / Fnac / Le bon coin / e-Bay / etc. tant d’un point de vue professionnel que personnel.

Exemple de fuite de données en 2019* (*Sources : La cnil) :

  • British Ariway : 500 000 données bancaires et personnelles,
  • Groupe Mariott : 300 millions de données personnelles de clients ont été volées,
  • Allianz : 3 000 clients auraient été touché,
  • Sephora : 3,7 millions comptes,
  • Impot.gouv.fr : 2 000 contribuables Francais,
  • Facebook : > 100 millions de comptes,

Sans oublier, la plus grand Data Leaks en provenance d’une seule source découverte en octobre 2019 de 4 milliards d’enregistrements qui contenaient les adresses email, numéros de téléphone, ainsi que les profils Facebook et LinkedIn.

Maintenant vous savez comment vos coordonnées sont récupérées à votre insu ! Les fichiers clients des « Gros » !

Et pourquoi la fuite de mon adresse email me met en danger ? 

Lorsque les crackers récupèrent ce type de données (soit en ayant piraté eux-mêmes, soit en consultant des bases accessibles sur le Darknet, soit en achetant ses bases), ils ont à leur disposition certaines informations vous concernant comme votre email et un mot de passe. La 1ere chose qu’ils vont tenter de faire sera d’essayer de se connecter à votre messagerie avec le couple « email » + « Mot de passe » que vous aviez enregistré sur facebook, linkedin ou autres « gros » sites… Bingo !

Exemple, j’ai mis mon mail email_test@yahoo.fr sur mon compte Darty qui s’est fait pirater. Le cracker a maintenant mon email. Il va donc aller sur le site de messagerie Yahoo puisque mon email est @yahoo.fr pour voir si mon email_test@yahoo.fr + le mot de passe que j’avais mis sur le site de Darty fonctionne. Et là encore, Bingo !

Bingo ! car malheureusement, la plupart des gens utilisent le même mot de passe partout et très souvent ce simple test permet aux crackers d’accéder à votre messagerie.

Tout cela sans que vous vous en rendiez compte et sans avoir reçu aucun email ni même avoir accès à vos appareils (ordinateurs / smartphone / etc.).

Donc règle numéro 1 : NE JAMAIS utiliser le mot de passe de ma messagerie pour un site internet marchand ou un espace client. Le mot de passe de ma messagerie doit être UNIQUE et dans le meilleur des mondes, un service en ligne, un mot de passe.

Astuce pour choisir votre mot de passe…

Bien évidemment, vous le savez, votre mot de passe doit être robuste, minimum 10 à 12 caractères avec des chiffres, des lettres en majuscules, minuscules et des symboles. Le mot de passe ne doit pas être en mesure d’être déduit. Pas de date de naissance de vous ou vos enfants, pas de surnom, pas de prénom ou nom ou toutes autres informations qui pourraient aisément être déduites en cherchant sur internet ou les réseaux sociaux.

Regardez cette petite vidéo humoristique qui montre la méthode (qui est bien réelle ! ) de Jenny pour trouver un mot de passe :

Aucun texte alternatif pour cette image

Pour créer un bon mot de passe, prenez une phrase que vous connaissez par cœur, exemple :

« Mignonne, allons voir si la rose, Qui ce matin avait déclose »

Condensez là en ne prenant que la 1ère lettre par exemple : MavslrQcmad

Ajoutez des chiffres en début, au milieu ou en fin ou les 3 puis parsemez de ponctuations :

0Mavslr,Qcmad9?

Voilà vous avez un mot de passe relativement facile à retenir et difficile à déduire !

Conseil d’utilisation de vos boites mail

Revenons à nos mails, je vous recommande d’avoir au moins 3 boites mails et même 4 :

  • Un mail Pro qui ne sert qu’à échanger avec des professionnels et ne doit être quasi jamais être renseigné sur un site internet, même des sites professionnels. Cet email vous est fourni par votre entreprise.
  • Un mail Perso qui sera votre messagerie pour échanger sur des sujets personnels.
  • Un mail Poubelle qui sert à s’inscrire sur les sites. Et même un mail Poubelle pro afin de distinguer votre activité Internet pro/perso.

Pour les 3 dernières boites mail, vous pouvez les créer vous-même sur diverses plateformes : Microsoft (outlook), Google (Gmail), Hotmail, etc…

Jusqu’où ces crackers peuvent-ils aller avec mes infos ? 

Scénario 1 : ils ont trouvé le couple email / mot de passe qui leur donne accès à votre boite mail. Dans ce cas, ils ont non seulement accès à vos échanges, mais aussi à vos agendas, à vos contacts etc.

Vous êtes donc en danger mais vous devenez également un danger, à votre insu, pour vos contacts car le cracker pourrait se faire passer pour vous auprès de vos relations pour des actions malveillantes.

Scenario 2 : ils ont trouvé votre adresse mail uniquement mais pas votre mot de passe. Ils vont alors tenter le Phishing avec les bases qu’ils ont récupérées.

Pour rappel, le phishing (hameçonnage), c’est une technique qui consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance (Banque, Administration, Fournisseurs, etc.). Vous recevez un mail bien écrit et bien tourné, vous invitant à cliquer sur un lien pour compléter des informations en lien, ou pas, avec un achat ou une démarche que vous pourriez avoir fait sur Internet. De fait, vous cliquez sur le mail et répondez, naïvement, aux questions qui vous sont posées.

Pour se prémunir du phishing, le 1er atout est la méfiance et l’observation.

Voici une petite video qui expliquer avec un peu d’humour (encore, c’est la même équipe) comment Willy crée une compagne de Phishing :

Aucun texte alternatif pour cette image

Donc : 

Règle numéro 2 : Ne jamais cliquer sur une pièce jointe ou sur un lien dans un e-mail qui vous semble douteux. Connectez-vous toujours via le site officiel ou contactez le service client.

Règle numéro 3 : Ne fournissez pas des informations relatives à votre CB que pour régler un achat sur un site sécurisé dont l’adresse commence par HTTPS.

Mais attention, certains « phishing » vous enverront aussi sur des sites en HTTPS. Donc là encore faites preuve de vigilance et de bon sens. Vérifiez bien que le site sur lequel vous êtes correspond bien au site « officiel ». Ex : Facebook.jetarnaque.fr n’est pas Facebook.fr

Règle numéro 4 Ne jamais communiquer ses mots de passe à qui que ce soit. Utilisez un mot de passe différent sur chaque site visité, et en particulier sur son site bancaire et sa messagerie.

Règle numéro 5 : Essayer au maximum d’avoir un mot de passe par service / plateforme.

La règle n°5 ne semble pas évidente à mettre en place concrètement compte tenu du nombre d’espaces client et de mots de passe que nous avons à retenir.

Alors une méthode simple consiste à utiliser un outil très pratique de gestion de mot de passe. Il s’agit d’un coffre-fort de mots de passe pour lequel nous devns retenir un mot de passe unique.

Je ne vous recommande pas l’utilisation des outils liés à votre environnement tels que iCloud pour Mac ou l’utilitaire Microsoft. En effet, le problème de ces 2 outils est qu’il est difficile de passer de l’un à l’autre lorsque vous travaillez dans des environnements hétérogènes (PC + un iphone, Mac + un android, PC au bureau + un Mac à la maison). Privilégiez des outils multiplateformes tel que : KeePass (agréé par l’ANSSI) / One Password / Dashlane / EnPass / etc.

L’avantage de ce genre d’outil est qu’il peut générer automatiquement des mots de passe complexes, les stocker dans une base sécurisée et vous permet de les réinjecter automatiquement dans vos sites préférés en ne retenant qu’un seul mot de passe maitre « fort » qui vous servira à ouvrir ce coffre lorsque vous en avez besoin.

Si vous appliquez déjà ces quelques gestes barrières, vous limiterez la casse….

Pour ceux qui veulent aller plus loin, je vous recommande de regarde cette vidéo :

Accès directs par thème :

A 2mn30 : méthode de « Brut Force »

A 4mn00 :  méthode par « dictionnaire »

A 5mn39 : démonstration de craquage de mots de passe

A 10mn00 : présentation d’un outil de gestion de mot de passe, Dashlane en l’occurrence.

Enfin, vous trouverez ci-dessous un tableau vous donnant une estimation du temps pour casser un mot de passe en fonction de sa longueur et complexité.

Aucun texte alternatif pour cette image

J’espère que cet article vous a intéressé, n’hésitez pas à revenir vers nous pour plus d’informations sur le sujet ou sur d’autres.