Le gratin des hackers est attendu les 7 et 8 février pour un challenge à l’université de Reims. Pirates mais honnêtes, ils nous offrent leurs recommandations pour limiter le vol de nos données.

 

Comment se faire voler ses données en quelques secondes

 

« Il ne faut pas faire confiance aux points d’accès wifi gratuit que l’on trouve dans les gares, les hôtels ou ailleurs. C’est très simple pour un pirate de simuler le portail d’accès au réseau. Dès que l’utilisateur va se connecter, tout ce qui transite entre le réseau et l’ordinateur sera intercepté. » Le voleur commencera par récupérer le mot de passe de la boîte mail de sa victime. « C’est pourquoi il ne faut surtout pas utiliser son mot de passe de mail pour autre chose que sa boîte mail. Sinon le pirate pourra aller partout, des sites marchands au compte bancaire. Il peut aussi s’amuser à demander une réactivation des mots de passe sur les différents comptes de l’utilisateur. Le lien de réactivation arrivera sur la boîte mail piratée… »

 

Quel navigateur privilégier pour aller sur internet

 

« La plupart des navigateurs actuels sont relativement sécurisés, cependant ils n’ont pas les mêmes niveaux de sécurité et de protection des données personnelles. Google Chrome, par exemple, est mal réputé au niveau de la collecte des données personnelles. Selon plusieurs études, Firefox est un des meilleurs navigateurs à utiliser au niveau sécurité et protection de la vie privée. Il faut également mettre à jour régulièrement ses logiciels, ainsi que son système d’exploitation car des correctifs de sécurité sont placés dans les mises à jour lorsque des vulnérabilités sont détectées. »

 

Quelle boîte mail choisir

 

« Il vaut mieux, par exemple, utiliser la messagerie de la Poste plutôt qu’un Gmail qui appartient à Google, réputé pour la collecte de données. Les solutions Laposte sont certifiées par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Celles ci, ainsi que quatre autres solutions de messagerie ont signé la charte de l’Anssi. »

 

La messagerie instantannée la plus sûre

 

Il est question ici des messageries que l’on télécharge sur son smartphone pour envoyer des textos, poster des photos, créer des groupes ou encore téléphoner gratuitement. Elles sont toutes chiffrées (lire par ailleurs) mais il existe des nuances de sécurité. « Les deux plus connues, WhatsApp et Telegram, fonctionnent sur du chiffrement symétrique. Cependant, leur sécurité est souvent remise en question par les experts qui lui préfèrent Signal et Wire. »

 

Les meilleurs lieux de stockage

 

« Les solutions actuelles de cloud (stockage en ligne) sont assez bien sécurisées, les données y sont chiffrées. Les trois recommandés sont : Ercom – Cryptobox, Kontrol – Tanker et TransfertPRO SAS – TransfertPRO “on premise”. Il est encore mieux de sauvegarder ses données sur un serveur de stockage personnel, chez soi, non exposé au réseau internet. Ainsi il y a peu de chances que quelqu’un puisse tenter d’y accéder. »

 

Pourquoi un Anti-virus ? Lequel choisir ?

 

« Il est indispensable d’utiliser un antivirus afin de se protéger de la quantité astronomique de menaces. Cependant, il faut savoir que les logiciels sont capables de détecter uniquement des attaques qui sont connues par les éditeurs. Actuellement, deux antivirus sortent du lot, à savoir Kapersky et Bitdefender. Malgré tout, la nécessiter d’investir dans ces solutions est discutable, Windows defender (gratuit) est suffisant pour un utilisateur lambda qui utilise son ordinateur avec précaution. »

 

Attention à ses données de carte bancaire

 

« Depuis que les cartes bancaires peuvent être débitées sans contact, il est facile de les pirater en s’en approchant discrètement avec un boîtier particulier. » Cela peut arriver dans le tram ou dans le bus, à travers le sac à main ou la poche. C’est pourquoi il est recommandé de ranger sa carte dans une pochette protectrice adaptée. Elles sont vendues une paire d’euros dans le commerce.

 

Comment repérer un virus dans son smartphone

 

Alain Menelet, ingénieur en cyber défense pour le ministère des Armées, donnera une conférence au HackSecu Reims sur la détection des malwares pour le système d’exploitation Android. « Bien que le terme virus fasse partie de notre langage quotidien, le terme malware ou programme malveillant est plus adapté car il regroupe les différentes menaces (trojans, ransomware, vers…). »

L’ingénieur évoquera les symptômes qui peuvent révéler la présence d’un malware dans son téléphone. Parmi ces symptômes : « Une batterie utilisée outre mesure, un temps de latence sur le téléphone (un téléphone ancien aura des latences inhérentes à ses capacités sans que cela soit suspicieux.), l’incapacité à accéder aux données ou encore la présence importantes de fenêtres intruses. » D’autres symptômes sont plus subtils : « Une facture de téléphone augmentée, une action bancaire non autorisée (vol de données bancaires) ou le fait que les amis de l’utilisateur, présents dans ses contacts, reçoivent un message curieux ».

 

Pour se protéger encore un peu plus. Les messageries chiffrées

 

Signal, Telegram, Wire, Dust sont des messageries instantanées qui permettent théoriquement de communiquer de façon sécurisée. Les messages et les appels envoyés ou reçus sont chiffrés de bout en bout. Les propriétaires de l’application ne peuvent pas lire les messages, ni voir les appels, et personne d’autre ne peut le faire. Certaines applications offrent même l’option de pouvoir effacer automatiquement les messages dès lecture ou un peu plus tard. L’application WhatsApp fait partie des messageries chiffrées mais elle appartient à Facebook qui utilise ses informations de compte, dont les numéros de téléphone.

 

Se créer un réseau privé

 

Il est possible d’installer sur son ordinateur un réseau privé virtuel (VPN pour Virtual private network). Cela consiste à créer un lien direct entre des ordinateurs distants pour isoler leurs échanges du reste du trafic qui circulent sur les réseaux de télécommunication publics. Cela peut être utile pour le travail à distance. Les VPN nécessitent généralement le paiement d’un abonnement (quelques euros par mois) après une période d’essai gratuite. Parmi les VPN connus : Cyber Ghost, Surfshark, vyprvpn, ExpressVPN, Hide my Ass, purevpn.

 

Brouiller ses données

 

Il est possible de crypter un fichier particulièrement sensible. Cela peut se faire par le biais de logiciels gratuits comme AxCrypt ou 7Zip. Ils sont recommandés par la CNIL.

 

Résumé des recommandations de base

 

Choisir des mots de passe compliqués et différents (les écrire sur une feuille à cacher chez soi, surtout pas au bureau), ne cliquer sur aucun lien inattendu, ne pas ouvrir les pièces jointes systématiquement même si elles proviennent d’un proche, ne pas répondre au mail d’un ami si le contenu est bizarre ou plein de fautes, ne pas donner d’informations personnelles sur les forums, vérifier la présence de « https ://» au début de l’adresse mail (vérifier qu’il ne manque pas une lettre) et la présence du petit cadenas, dans la mesure du possible et ne pas aller sur les sites qui ne comportent pas ce cadenas, penser à sauvegarder régulièrement le contenu de son ordinateur sur un disque externe (plutôt que des sauvegardes en ligne sur le cloud), mettre à jour son anti-virus, dans la mesure du possible ne pas se connecter sur les réseaux de wifi gratuit mais préférer utiliser son réseau téléphonique 4G.

 

Source: lunion.fr