Choisir sa Revue consacrée à la Sécurité Informatique

Quelques avis sur ces revues et magazines de sécurité informatique.

Mag Securs

Revue généraliste en sécurité informatique, qui s’adresse plutôt aux décideurs avec un contenu assez peu technique.

Les informations concernant le droit restent précieuses car la technique ne fait pas tout. De même, la lecture des missions d’autres professionnels se révèle instructive sur les difficultés ou les écueils rencontrés et les solutions mises en oeuvre.

Une revue à ne pas ignorer.

Pirate informatique et PC Pirate

Ces deux revues sont assez proches dans l’esprit. Les informations sont accessibles et s’adressent à un public informatique assez large qui se passionne pour les manipulations pratiques.

Elles proposent ou présentent des techniques, outils et méthodes liés à la sécurité informatique. Elles sont très accessibles.

Sauf erreur de ma part, il n’y a pas d’abonnement possible.

Pirates Mag

Une revue défunte mais dont les anciens numéros peuvent être achetés sur le site, via échange d’emails.

Compte-tenu des dates très anciennes de parution, une partie du contenu est évidemment périmée. Cependant les dossiers sur la téléphonie sont loin d’être inintéressants pour débuter.

MISC

Une revue incontournable, car de qualité, qui s’adresse à un public averti (développeurs, pentesteurs, administrateur système et réseau, etc.).

Les informations sont nombreuses, variées et souvent pointues. Les auteurs sont toujours excellents dans leur domaine, et certains se révèlent être d’excellents pédagogues. Certes, il y a quelques sujets qui sont abordés un peu rapidement (ou qui sont d’un niveau trop élevé pour moi) et qui s’adressent visiblement à des publics de connaisseurs.

Un autre avantage de cette revue est la présence des références qui sont fournies systématiquement à la fin de l’article. Ensuite, il suffit de suivre et d’exploiter ces pointeurs.

A ce jour, elle est la revue de référence en matière de sécurité informatique même si vous n’y trouverez pas tout (!)

Programmez

Certes il ne s’agit pas d’une revue dédiée exclusivement à la sécurité informatique. Toutefois, certains articles décrivent les techniques liées à l’écriture de programme sécurisé. Par ailleurs, ce magazine est aussi de qualité.

Bien évidemment, ce magazine s’adresse aux développeurs, débutants comme expérimentés.

L’intérêt majeur est d’avoir des articles, écrits par d’autres développeurs, qui abordent des langages qui ne sont pas forcément maîtrisés par tous. La connaissance de plusieurs langages, ou techniques, est un véritable atout pour un développeur ou un apprenti en sécurité informatique.

A ce propos, lire l’excellent livre de Andrew Hunt et David Thomas: The Pragmatic Programmer: From Journeyman to Master by Hunt, Andrew, Thomas, David 1st (first) edition [Paperback(1999)].

Ce n’est pas un livre pour apprendre un langage informatique. Il s’adresse à des développeurs débutants (ou pas) qui souhaitent apprendre rapidement les bonnes pratiques liées au développement informatique.

Comment effacer ses informations sur un moteur de recherche ?

En France, la Commission nationale de l’informatique et des libertés (CNIL) a publié une fiche pratique qui explique comment effacer ses informations sur un moteur de recherche.

Index des moteurs de recherches

Les moteurs recherche (Google, Bing, Yahoo, etc) utilisent des programmes qui balaient tous les contenus trouvés sur Internet. Ce contenu sert à créer un index qui est stocké chez le fournisseur du moteur de recherche. L’index est stocké dans d’immenses bases de données.

Ensuite, les internautes interrogent cet index pour trouver l’information. Les recherches que vous soumettez au moteur de recherche sont analysées par celui-ci pour vous répondre mais pas seulement.

En effet, le moteur de recherche stocke systématiquement vos recherches et les analysent pour identifier vos centres d’intérêts. Si vous tapez « recette gâteau », votre centre d’intérêts sera classé comme étant « Culinaire ».

Grâce aux liens sur lesquels vous cliquez suite à la recherche, les moteurs de recherche connaissent aussi les sites que vous fréquentez.

D’autres techniques, associées au moteur de recherche, permettent de croiser finement ces informations.

Plus simplement, le seul fait de vous êtes connecté sur un moteur de recherche leur donne votre localisation géographique grâce à votre adresse IP.

L’index des moteurs de recherche est régulièrement augmenté à partir des nouveaux contenus. De même, il est aussi rafraîchi si le contenu existant d’un site web est mis à jour.

La première démarche à avoir pour effacer ses informations d’un moteur de recherche consiste donc à supprimer les informations stockées sur un site web qui vous concernent.

Dans cette fiche pratique, la CNIL vous explique comment contacter le responsable du site. Celui-ci a la possibilité de supprimer vos informations de son site. Il peut aussi demander aux responsables du moteur de recherche de faire disparaître les informations encore présentes dans leur cache.

Cache des moteurs de recherche

En effet, les moteurs de recherche, toujours avides d’informations, gardent les anciens index dans un « super-index » appelé « cache ». Aussi, pour effacer intelligemment ses traces d’Internet, il faut que le responsable du site demande d’effacer le cache concerné des moteurs de recherche.

Cela pose un sérieux problème avec les sites web qui n’existent plus mais dont le contenu est toujours présent dans le cache. Même si un site web a disparu, les moteurs de recherche peuvent continuer à stocker les informations du site dans le cache.

Cette situation n’est pas toujours liée au fonctionnement des moteurs de recherche. Elle est aussi due à des pratiques de certains sites, généralement hébergés hors de votre pays, qui reprennent le contenu des sites existants en le présentant différemment.

Sites web à l’étranger

Une autre difficulté surgit avec les sites web à l’étranger qui hébergent des informations vous concernant (Facebook, Twitter, etc.). Les sites web situés à l’étranger n’obéissent pas à la réglementation locale.

Si la méthode proposée par la CNIL française peut être valable en France, elle se heurtera à des fins de non-recevoir de la part des sites hébergés à l’étranger dans la plupart des cas.

Bien évidemment des sites web de notoriété mondiale peuvent être sensibles à leurs images pour des raisons purement commerciales et ils peuvent, pour cette raisons, accepter de se plier aux injonctions d’organismes publics.

A contrario, les sites web de moindre notoriété, ou à la solde de personnes sans scrupule, peuvent compter sur les faiblesses des composantes de la société civile, comme par exemple:

  • Souveraineté nationale
  • Législation différente
  • Absence de véritable coopération
  • Inertie
  • etc.

Dans un prochain article, vous saurez comment préservez votre tranquillité.

Livre Apprendre InfoPath 2010 par la pratique

L’objectif des nombreux travaux pratiques de ce livre est de vous rendre rapidement autonome et opérationnel dans l’utilisation d’InfoPath Designer 2010.

Conçus dans un réel souci pédagogique, les 44 travaux pratiques commencent par des manipulations simples (ajouter un tableau, ajouter un champ, etc.).

Progressivement, vous apprendrez des usages plus complexes comme par exemple, le masquage conditionnel des zones, ou encore comment créer un formulaire extensible, etc.

Chaque exercice est composé d’un descriptif de l’objectif avec une copie d’écran qui affiche le résultat attendu. Si nécessaire, des instructions précises expliquent les prérequis pour l’exercice. Puis la solution est présentée et commentée, étape par étape, jusqu’à l’atteinte de l’objectif. Afin de vous assurer d’être sur la bonne voie, des copies d’écrans illustrent la solution. Enfin, un récapitulatif vous rappelle ce que venez d’apprendre.

Tout le long des exercices vous êtes guidé pas-à-pas afin de mettre en pratique l’objectif avec succès.

Ces exercices seront aussi l’occasion de comprendre l’intérêt pratique de ces manipulations à l’aide de nombreuses explications. Au fur et à mesure, vous verrez comment vous arriverez à construire un formulaire riche et complet.

Afin de tenir compte de l’absence du formateur, presque 200 illustrations ont été insérées, notamment à l’occasion des passages les plus délicats. La correction de tous les travaux pratiques est en téléchargement avec les instructions pour ne jamais se sentir perdu!

Ce recueil d’exercices a aussi été rédigé en gardant en permanence à l’esprit les questions soulevées par les stagiaires qui ont déjà pratiqués ces exercices.

Téléchargez l’extrait gratuit: Apprendre InfoPath 2010 par la pratique.pdf

Achetez le livre complet: http://amzn.to/1IUmN7v

Qu’Est-ce Qu’une Sauvegarde de Données ?

Cet article explique ce qu’est une sauvegarde de données informatiques, à quoi ça sert et comment il est possible d’en faire une simplement.

Lorsque vous créez un document Word (par exemple), celui-ci est stocké sur le disque dur de votre ordinateur sous forme d’un fichier lorsque vous l’enregistrez. De même quand vous le modifiez, vous devez aussi l’enregistrer sur le disque dur pour garder votre travail. De cette manière, vous pouvez revenir sur votre document aussi souvent que vous le souhaitez.

Toutefois l’opération d’enregistrer votre document n’est pas toujours suffisante.

Imaginez qu’après avoir travaillé de longues heures et peut être des jours sur votre document, vous souhaitez finalement retrouver une ancienne version. Comment faire pour retrouver la version de la semaine dernière de votre document ?

Que faire si vous êtes dans l’impossibilité d’ouvrir votre document car il a disparu suite à une suppression accidentelle, ou encore il n’est plus lisible malgré tous les efforts de l’informaticien de service.

Que faire si votre ordinateur est volé ou perdu ?

Le vol ou la perte d’un ordinateur portable est beaucoup fréquent qu’on ne l’imagine. Le vol des autres ordinateurs (« ordinateur de bureaux ») est moins fréquent mais le risque est réel, que ce soit au travail ou à la maison.

Plus simplement, il arrive aussi que le disque d’un ordinateur défaille: il ne répond plus du tout.

Outre les documents bureautiques, vous pouvez perdre aussi les photos numériques des enfants quand ils étaient petits, des vacances ou celles de souvenirs heureux.

Aussi, il est nécessaire de faire une sauvegarde régulière de vos données. La sauvegarde consiste à recopier vos données sur un autre disque.

A titre d’exemples, vous trouverez des disques externes que vous pouvez brancher sur le port USB (Universal Serial Bus) de votre ordinateur. Autre exemple de disque externe : Platinum.

Procédure pour sauvegarder sur un disque externe

Une fois que le disque dur est branché et reconnu, une nouvelle lettre apparaît comme par exemple G: sous Windows. Si Windows ne reconnaît pas le format du disque et qu’il vous propose de formater le disque, acceptez l’opération, s’il s’agit d’un disque neuf. Dans le cas contraire, prenez conseil.

Il suffit alors de faire un clic-droit avec la souris sur le dossier à sauvegarder : un menu apparaît.

Vous choisissez alors Envoyer vers puis G:

Lorsque l’opération est terminée et que vos fichiers sont dupliqués sur ce disque externe, déconnectez votre disque externe.

Dans Windows, il est préférable d’utiliser l’option Retirer le périphérique en toute sécurité et éjecter le média pour enlever le disque externe.

Intérêt de la sauvegarde externe

Outre les risques de vol, de perte ou de défaillance d’un disque de dur, il peut aussi arriver qu’un fichier se détériore subitement. Même si cela est rare, cela se produit toujours sur des documents volumineux et généralement précieux.

Vous serez ainsi soulagé d’avoir une sauvegarde même ancienne.

A cause du malware CryptoLocker et de ses dérivés, il est aussi plus prudent de disposer d’une sauvegarde externe déconnecté. En effet ce malware chiffre les données de certains documents présents sur tous les disques dur de l’ordinateur. Même si l’occurrence du risque est faible, son impact est dévastateur.

Choix d’un disque externe

Choisissez un disque dur externe de taille 2,5″ (et non 3,5″) pour éviter d’avoir une alimentation électrique à brancher sur le disque.

En effet, il est rare que les modèles 3,5″ puissent se passer d’alimentation électrique externe. En revanche, les modèles 2,5″ n’ont pas besoin de ce câble supplémentaire car ils sont alimentés électriquement grâce à l’USB.

Sauvegarder ses données en ligne

Avec Internet, il est possible de sauvegarder ses données en ligne. Vos sauvegardes sont accessibles, quel que soit l’endroit où vous vous trouvez dans le monde entier.

Avec cette méthode, vous pouvez sauvegarder facilement vos photographies numériques, vos documents importants et vos e-mails archivés sur un site Web.

Ensuite, un simple navigateur Web, ou un logiciel spécialisé, vous permet de restaurer les fichiers précédemment sauvegardés depuis n’importe quel ordinateur.

Toutefois, malgré l’intérêt indéniable de ce genre de solutions (souplesse, simplicité), la sécurité n’est pas encore suffisamment garantie.

A plusieurs reprises, il a été démontré la faiblesse de certaines de ces solutions.

Numérique mauvais ?

Des possibilités et des dangers

Internet est un formidable outil, plein de possibilités vivantes, passionnantes et qui ne finit pas de nous étonner par sa richesse et ses capacités. Dans ce monde merveilleux, les téléphones mobiles viennent décupler la puissance quasiment sans limite d’Internet.

Cependant, les fabricants et éditeurs n’attirent pas toujours suffisamment votre attention sur les dangers potentiels que recèle cette technologie complexe. Si vous n’en êtes pas convaincu, vous demanderez à l’actrice Scarlett JOHANSSON[1] ce qu’elle a pensé de voir circuler sur le web les photos prises par elle-même où elle dévoile ses magnifiques formes nues. Ces photos ont été volées à partir de son compte email.

Il ne s’agit que d’un exemple anecdotique mais sachez que les usagers d’appareils électroniques sont des victimes potentielles de cybercriminels organisés, intelligents, rusés et dénués de tout scrupule. En effet, ces individus ont compris tout ce qu’ils pouvaient retirer de la richesse d’Internet et des appareils mobiles, comme les tablettes et les smartphones. Pendant ce temps, les objets connectés se répandent dans la vie quotidienne comme une traînée de poudre…

Si vous pensez que le trait est forcé et exagéré, alors vous êtes une proie potentielle et facile pour ces gens-là. C’est tout le paradoxe de cette situation. D’un côté, la victime est généralement à des années lumières de se douter de la malignité des intentions de ces individus. De l’autre, vous avez des personnes qui se lèvent le matin en se demandant « Qui vais-je arnaquer aujourd’hui ? ».

Ces cybercriminels sont très pragmatiques. Ils cherchent à dérober votre argent, vos biens et même votre identité. L’usurpation d’identité est sans aucun doute un des plus grands risques actuels. Heureusement qu’il existe des moyens pour s’en protéger le plus possible. Vous le verrez dans la suite.

[1] http://www.lematin.ch/people/10-ans-prison-nus-scarlett/story/18962456

Qu’Est-ce Qu’un Cookie ?

Les cookies sont des petits fichiers, créés par un serveur Web, et stockés sur votre ordinateur via un navigateur Web.

Normalement, vous ne voyez pas ces fichiers car ils sont stockés dans un répertoire technique de Windows. Ils fournissent un moyen pour les sites Web que vous visitez de vous identifier de manière unique.

Exemple de fonctionnement d’un cookie

Lorsque vous vous connectez sur un site marchand, celui fabrique un cookie qui contient un code unique d’identification généré automatiquement. Dans la base de données du serveur du site marchand, celui associe ce code unique à vos coordonnées : nom, prénom, etc.

Si vous éteignez votre ordinateur, le fichier n’est pas effacé. Lorsque vous vous connecterez à nouveau sur le site marchand, celui-ci cherchera à lire le cookie qu’il a créé. Si le fichier est toujours présent, il extrait le code unique et grâce à l’association dans sa base, il est capable de vous identifier.

Ainsi le site marchand peut afficher votre dernier panier.

L’intérêt du cookie ne s’arrête pas aux sites marchands.

Car le cookie peut aussi garder une trace de vos habitudes et de vos préférences sur le web. Les régies de publicités sur Internet, ainsi que les réseaux d’annonceurs, utilisent des cookies pour suivre les préférences des utilisateurs Web et proposer des annonces sur mesure. Notamment, c’est la technique utilisée par Google et décrite dans l’article Comment supprimer ses traces de Google ?

Les cookies sont-ils sans danger ?

En théorie, un cookie bénéficie de protections renforcées. En effet, le cookie ne peut être lu que par le site web qui l’a crée car il comporte le nom du domaine du site. Par exemple, l’adresse questcequecest.com. Il dispose également d’une date d’expiration au delà de laquelle il est détruit.

Toutefois, dans la pratique, il existe des possibilités, techniquement élaborées, qui permettent à un site web malfaisant d’accéder au contenu d’un cookie. Sous certaines conditions, il est même possible de recréer un faux cookie et donc de se faire passer pour quelqu’un d’autre. A cause de ces techniques de contournement, certains sites web vous demandent régulièrement votre mot de passe pour s’assurer qu’il ne s’agit pas d’une usurpation d’identité numérique.

Régies publicitaires

Il existe aussi un risque d’une tout autre nature. Il s’agit des régies de publicités sur Internet.

En effet, vous avez vu que lorsque vous surfez sur le web, vos goûts et préférences sont stockés dans les cookies. Par exemple, si vous consultez essentiellement des sites de musique à télécharger, le cookie de la régie publicitaire stocke l’information que votre centre d’intérêts est la musique. Vous verrez donc des publicités, par exemple dans Google AdSense, qui présentent des sites de musique. Cela s’appelle la publicité comportementale.

De même, il est maintenant possible de connaître votre emplacement géographique. C’est ce qui s’appelle la géo-localisation ou géo-référencement. Cette information est aussi stockée dans le cookie. Par exemple, si vous surfez dans le grand Lyon, ne soyez pas surpris de voir apparaître principalement des publicités pour des commerces à Tassin-la-Demi-Lune.

Comme les grands sites web confient leurs annonces aux régies publicitaires, celles-ci gèrent la publicité d’un ensemble de plusieurs sites web. Dans ce cas, la régie peut aisément repérer votre parcours sur des sites complètement différents et établir vos habitudes de consommations ou, tout simplement, vos goûts.

Si vous vous identifiez sur un des sites géré par la régie publicitaire, celle-ci pourra vous identifier et associer le profil calculé, grâce au cookie, avec votre compte. La confidentialité de vos préférences est donc compromise.

Est-il possible de supprimer les cookies ?

En effet, il existe plusieurs méthodes efficaces. Pour effacer les cookies, consultez notre article sur l’excellent outil CCleaner. L’inconvénient de CCleaner est qu’il est nécessaire de le passer régulièrement. De plus, si vous supprimez ou interdisez complètement les cookies dans votre navigateur, vous risquez d’en subir les inconvénients : saisie continuelle des identifiants de connexion, perte d’informations personnalisées sur des sites que vous pratiquez régulièrement, etc.

Il existe une autre méthode qui consiste à empêcher uniquement la création des cookies publicitaires.

En particulier, vous disposez des services de la Network Advertising Initiative. Cette association rassemble de nombreuses régies publicitaires. La Network Advertising Initiative vous propose de mettre fin à votre participation à la publicité comportementale pour environ 100 régies publicitaires dont celles de Google, via DoubleClick et Microsoft, via Atlas Technology.

Le fait de mettre fin à sa participation à un réseau signifie que celui-ci cessera d’envoyer des publicités adaptées à vos préférences et habitudes d’utilisation.

Mise à jour automatique des logiciels

La réduction des risques contre les vulnérabilités nécessitent que les versions vulnérables des programmes soient enlevées de votre ordinateur.

Avec Windows Update, Microsoft proposait la mise à jour automatique de leur système d’exploitation Windows. Ensuite, Microsoft a élargi son offre de mise à jour automatique aux autres produits avec Microsoft Update pour les particuliers et Windows Server Update Services (WSUS) pour les entreprises. Ces mises à jour automatisées visent principalement à améliorer la sécurité.

Toutefois, les attaques se concentrent de plus en plus sur les logiciels périphériques comme eux d’Adobe ou d’autres éditeurs dont les produits sont répandus, victimes de leurs succès.

Ces éditeurs proposent des mises à jour régulières de leurs produits mais comment s’assurer que c’est fait correctement pour toutes les applications tierces ?

Afin d’améliorer sa protection il existe des logiciels qui permettent de vérifier, en une fois, que les applications tierces sont bien mises à jour vers les toutes dernières versions sécurisées.

Aussi, pour identifier les installations vulnérables, j’ai testé plusieurs logiciels gratuits comme CNET TechTracker de CBS Interactive, Software Updates Monitor (SUMO) de KC Software et Personal Software Inspector (PSI) de Secunia.

Ces logiciels commencent par faire une analyse (« scan ») des logiciels installés puis ensuite ils communiquent à leur serveur Web le résultat de l’analyse. Le serveur Web dispose d’un référentiel des dernières versions de logiciels. Il compare les versions installées sur votre ordinateur puis il renvoie l’information sur votre ordinateur qui affiche le résultat.

Malgré plusieurs tentatives, CNET TechTracker a refusé de se connecter à leur serveur Web. Devant les problèmes rencontrés avec CNET TechTracker, j’ai renoncé à l’évaluer.

J’ai ensuite testé SUMO. Ce logiciel demande avec beaucoup d’insistance d’installer différents logiciels présentés comme leurs sponsors. Malgré toutes mes dénégations attentives, il a installé un des logiciels en question. Du coup, j’ai arrêté l’évaluation.

Bien que le logiciel PSI propose aussi l’installation d’un logiciel sponsorisé, il n’a pas insisté devant mon refus. Il a réussi à communiquer avec son serveur Web après redémarrage. Si PSI n’arrive pas à procéder à la mise à jour automatique (« Auto Updating »), il propose un lien direct vers la dernière version de chaque logiciel installé sur votre ordinateur.

Grâce à PSI, j’ai découvert que les versions installées d’Adobe Shockwave Player, VMware Player et PHP n’étaient pas à jour. Pour PHP, je pensais l’avoir désinstallé. C’était bien le cas mais phpDesigner procède à une installation silencieuse de PHP.

Autre avantage de PSI: il détecte tout seul l’installation, ou la désinstallation d’un logiciel.

Un test concluant en faveur de PSI.

Vol d’identité sur Internet

Les données privées sont la nouvelle monnaie d’échange sur Internet.

A ceux qui prétendent n’avoir rien à cacher, un juriste leur répondait: « Pourquoi mettez-vous des rideaux à vos fenêtres ? ».

Si le mot peut faire sourire, malgré sa pertinence, la réalité du Web n’est pas toujours gaie.

Le harcèlement d’un individu peut se propager et s’amplifier avec les réseaux sociaux. Ces persécutions conduisent parfois certains jusqu’au suicide. Même si cette situation est exceptionnelle, elle n’en demeure pas moins dramatique.

Qu’est-ce que le vol d’identité ?

Le vol d’identité, ou usurpation d’identité, a lieu lorsqu’une personne récupère des informations personnelles de la victime pour se faire passer pour elle afin de commettre un délit ou un crime.

Cette technique criminelle consiste donc à usurper une identité afin de « brouiller » les pistes et éviter que les forces de l’ordre « remonte » jusqu’au coupable. Celui-ci bénéficie d’un sentiment d’impunité. Cela lui permet de commettre ces crimes sans être inquiété.

Le vol d’identité est le crime qui augmente le plus vite en Californie en… 2002. Dix ans plus tard, ce phénomène est présent en France, Belgique, Suisse et consorts.

Le vol d’identité numérique est une activité criminelle qui prend de plus en en plus d’ampleur. Le vol d’identité consiste à utiliser les informations d’identité (nom, prénom, date de naissance, téléphone, adresse, etc.) d’une autre personne afin de se faire passer pour elle. L’usurpation de plaques d’immatriculations de voiture est aussi une pratique répandue.

Les renseignements personnels concernent des informations qui permettent d’identifier une personne:

  • Le nom, prénom, date et lieu de naissance,
  • Le numéro de téléphone fixe ou mobile,
  • L’adresse physique personnelle ou l’adresse email personnelle,
  • L’adresse physique professionnelle ou l’adresse email professionnelle,
  • Numéro de la carte d’identité ou du passeport,
  • Numéro d’identification nationale,
  • Numéro de permis de conduire,
  • Numéro de compte bancaire et numéro d’identification personnel.

Vous vous demandez certainement comment ces informations peuvent servir des criminels.

A quoi sert l’usurpation d’identité ?

Le vol d’identité permet à un criminel d’obtenir un crédit ou un prêt personnel à votre nom. Tandis que lui obtiendra le montant du prêt, il ne vous restera plus qu’à payer les mensualités.

Il peut aussi faire ouvrir un compte de téléphone cellulaire en usurpant votre nom.

Le criminel peut aussi usurper votre identité pour obtenir un document officiel, comme un permis de conduire avec sa photo et votre nom et adresse.

Dans le domaine de l’emploi, une femme a découvert qu’elle était victime d’une usurpation d’identité en postulant à un travail. L’employeur l’a informé qu’elle était déjà recensée comme salariée de l’entreprise. Dans cet exemple, l’usurpatrice était une proche de la victime.

Un usurpateur peut aussi louer un appartement sous un nom d’emprunt qui correspond à une personne réelle.

Toutefois, le vol d’identité ne se limite pas à des questions d’argent ou de biens matériels. Il peut être bien plus grave.

A la suite d’un banal contrôle des forces de l’ordre, une personne innocente a eu des ennuis (temporaires mais très désagréables) car un criminel agissait sous couvert de son identité et à son insu.

Comment Internet simplifie-t-il le vol d’identité ?

Avec Internet, il devient de plus en plus facile de se faire voler ses renseignements personnels.

Il existe des programmes qui sont spécialisés dans la récupération d’informations personnelles. Ces programmes (spywares) s’installent souvent à votre insu. Vous pouvez les éliminer à l’aide d’un anti-virus généraliste:

ou spécialisé comme ceux-là:

Le vol d’identité simplifié

Le vol d’identité devient de plus en plus simple grâce aux informations personnelles laissées volontairement à la disposition du grand public par les internautes eux-mêmes, les sociétés et même les administrations publiques sur le web.

De manière générale, il est estimé qu’environ 90% des informations sont ouvertes au public. En langage de renseignement, il s’agit d’informations blanches. Une information blanche est une information aisément et licitement accessible.

A titre d’exemple, la toute nouvelle stratégie secrète d’une entreprise peut se trouver publiée dans l’annexe du rapport des commissaires aux comptes. Ce rapport est directement téléchargeable à partir du site Web de l’entreprise concernée.

Pour en revenir au vol d’identité, les sources deviennent littéralement innombrables. Vous allez pouvoir le vérifier par vous-même.

Important. Avant tout, téléchargez, installez et exécutez le logiciel CCleaner qui vous permet d’effacer les cookies de votre ordinateur avant de faire les recherches:
CCleaner
Maintenant, lancez les recherches suivantes sur vous même en combinant les critères.

Par exemple, si je suppose que vous vous nommez John Doe et que vous résidez à VilleBidon, vous pouvez essayer dans Google, puis Yahoo et enfin Bing, les recherches suivantes:

  • John Doe
  • Doe John
  • JohnDoe
  • John Doe VilleBidon
  • etc.

Vous avez peut-être déjà récupéré un âge, une date de naissance, une ancienne adresse email oubliée.

Faites aussi une recherche à partit de votre adresse email. Par exemple, si votre adresse email est john.doe@emailbidon.com:

  • john.doe@emailbidon.com
  • john.doe (at) emailbidon.dom
  • john.doe (at) email (point) com
  • etc.

Pensez à élargir à d’autres moteurs de recherche que Google. Malgré sa pertinence, il lui arrive de passer à coté de résultats que Yahoo peut trouver par exemple.

La moisson sera encore meilleure avec les sites spécialisés comme:

ou les sites de réseaux sociaux:

Les américains disposent de sites web encore plus intrusifs:

Le premier site permet notamment d’obtenir des informations personnelles comme votre revenu annuel, la valeur de votre maison ou vos antécédents juridiques.

Dans un prochain article, vous saurez comment détruire les preuves de votre présence sur le web.

Bonnes adresses pour la sécurité informatique

En matière de sécurité informatique, la France se dote de plus en plus de moyens pertinents. En particulier, les sites gouvernementaux se révèlent de précieux alliés pour lutter contre la cybercriminalité organisée ou la divulgation non autorisée d’informations confidentielles.

L’Agence nationale de la sécurité des systèmes d’information s’adresse au grand public mais aussi aux entreprises.

Ce site riche propose des auto-formations sur des thèmes comme: Administration électronique et SSI, l’authentification, les certificats électroniques, la cryptologie, les mots de passe, la signature numérique, la sécurisation des réseaux, la sécurité du poste de travail, etc.

Il propose aussi des fiches de vulgarisation sur de nombreuses questions liées à la sécurité. Il s’agit souvent de bonnes pratiques avec des informations parfois très précises.

Les sujets couverts sont par exemple: l’achat d’un nom de domaine, les anti-espiogiciel, les antivirus, comment bien utiliser sa carte bancaire, le Bluetooth, les bonnes pratiques de navigation sur l’internet, comment calculer la ’force’ d’un mot de passe, les canulars par messagerie, comment configurer son point d’accès Wi-Fi, etc.

En complément à ces bonnes pratiques, vous trouverez quelques guides de configuration de firewall, d’Ubuntu, Windows Vista, du Wi-Fi.

Enfin, si vous partez en mission à l’étranger, vous trouverez des conseils très pertinents et très précieux sur les précautions à prendre à l’étranger. Notamment, la réglementation de certains pays permet aux autorités de contrôler tous vos documents. Notez que les conseils prodigués sur ce site pour vos voyages à l’étranger peuvent aussi s’appliquer souvent sur le sol français.

Le site de l’agence ANSSI se révèle aussi précieux. Comme indiqué sur leur site: « L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. » Il s’agit donc de se défendre et non d’attaquer.

Dans la partie Bonnes pratiques, les thèmes abordés couvrent de nombreux aspects de la sécurité: comprendre et anticiper les attaques ddos, sécuriser l’administration des systèmes d’information, recommandations de sécurité concernant l’analyse des flux https, poste de travail, messagerie, médias amovibles, liaisons sans fil, copieurs ou imprimantes multifonctions, réseaux, applications WEB, etc.

Les Logiciels préconisés par l’ANSSI concernent: l’administration de la sécurité, le chiffrement IP, les infrastructures de Gestion de Clés (IGC), les Pare-feu, la protection du poste de travail, les ressources cryptographiques, les signatures électroniques et la gestion de la preuve, les titres d’identité électroniques, etc.

Enfin, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend aussi de l’ANSSI, alerte sur les vulnérabilités des systèmes d’information.

Compte tenu de la richesse des informations recueillies par le CERTA et l’ANSSI, le mieux est de s’abonner à leurs flux RSS.

Comment protéger ses informations personnelles avec un mot de passe ?

Certains sites web vous demandent un mot de passe pour protéger vos informations personnelles: sites financiers ou marchands, comptes emails, etc. Ce mot de passe est associé à un compte ou à une adresse email.

Le mot de passe est la clef de voûte de votre sécurité.

Si vous voulez augmenter la sécurité de vos mots de passe, vous trouverez ci-dessous les conseils sur ce qu’il ne faut pas faire et ce qu’il est préférable de faire. Les explications détaillées sont présentées avec les outils.

Ce qu’il ne faut pas faire

  • Connaître ses mots de passe ou choisir des mots de passe faciles à se rappeler,
  • Choisir le même mot de passe pour tous les sites,
  • Utiliser une série de mots de passe identiques; chaque mot de passe est associé à des sites de niveaux de confidentialités similaires,
  • Utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques,
  • Stocker ses mots de passe dans une feuille Excel protégée elle-même par un mot de passe.

Ce qu’il faut faire

  • Ne pas connaître ses mots de passe (cf. plus bas),
  • Avoir un mot de passe généré aléatoirement,
  • Générer aléatoirement un mot de passe à partir d’une combinaison de lettres MAJUSCULES, minuscules, de chiffres et de symboles (par exemple: % $ ! etc.), si c’est autorisé par le site web. Les caractères spéciaux doivent se trouver aussi au milieu du mot de passe et pas seulement au début ou à la fin du mot de passe,
  • Quand c’est possible, avoir un mot de passe d’au moins 28 caractères,
  • Avoir un mot de passe différent par site web,
  • Stocker tous ces mots de passe dans un gestionnaire de mots de passe. Le gestionnaire de mots de passe est une sorte de coffre-fort logiciel.

Outils gratuits

Plus un mot de passe est long et plus il est difficile de s’en souvenir avec exactitude. Pourtant un mot de passe long est aussi plus difficile à percer. Actuellement, il est estimé qu’un mot de passe complexe et aléatoire de 64 caractères résisterait aux attaques de force brute menées par les organismes gouvernementaux.

Dans la pratique, les sites web acceptent rarement d’aussi long mots de passe. Ils limitent souvent à 20 caractères et parfois moins, la longueur des mots de passe. Toutefois, vous avez tout intérêt à utiliser des mots de passe de 28 caractères minimum quand c’est possible. Attention de ne pas prendre trop à la lettre le fait d’avoir un mot de passe de 28 caractères. Une longueur de 27, 30, 31 ou 43 fait aussi l’affaire.

Les outils présentés ci-dessous, vont vous permettre de mettre en application le principe d’avoir des mots de passe longs, complexes et aléatoires. Ils vous permettent même d’utiliser vos mots de passe sans jamais les connaître !

Gestionnaire de mots de passe

Il s’agit d’utilitaires de base de données de mots de passe. Les utilisateurs peuvent conserver leurs mots de passe cryptés sur leurs ordinateurs. Une seule combinaison du coffre les déverrouille tous.

Dans la vraie vie, il n’est pas possible de se rappeler tous les mots de passe: connexion au réseau Windows, compte e-mail, compte FTP de votre site web, etc.

En outre, vous devez utiliser un mot de passe différent pour chaque compte. Si vous utilisez un seul mot de passe sur tous les sites, ou sur une certaine catégorie de sites, il suffit qu’un cybercriminel vole le mot de passe sur un site peu protégé pour se connecter sur d’autres sites comme celui que vous utilisez pour gérer vos emails ou votre compte bancaire.

Stocker ses mots de passe dans un document Excel, ou Word, protégé lui-même n’est pas suffisant non plus. Bien que Microsoft ait largement renforcé la sécurité des documents dans les nouvelles versions (Office 2007 et surtout Office 2010 / 2014), ce n’est pas le cas des versions anciennes (2003 et avant) qui restent facilement « crackables ».

Les gestionnaires de mot de passe vous aident à gérer vos mots de passe de manière sécurisée. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé maître et / ou un fichier clé et / ou votre compte Windows. Il suffit donc de se rappeler un mot de passe principal et / ou de sélectionner le fichier clé pour déverrouiller la base de données avec les mots de passe cryptés.

KeePass Password Safe
KeePass est certifié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Password Safe
La communauté autour de Password Safe est aussi très active. Password Safe affiche peu d’informations à l’écran, ce qui est positif.

L’avantage d’un gestionnaire de mot de passe est de pouvoir les générer automatiquement. Il est aussi possible de copier-coller le mot de passe, ainsi que l’identifiant du compte, l’URL et d’autres informations. De cette manière, vous n’êtes pas obligé de connaître votre mot de passe.

Démonstration avec KeePass

keepass-creation-compte Une entrée est créée dans Keepass pour stocker le mot de passe du compte email. Un mot de passe est généré automatiquement.

keepass-generation-mot-de-passe Un nouveau mot de passe peut être généré. Dans Keepass, la complexité est exprimée en bits. Plus le nombre de bits est grand, plus la complexité est importante. Par défaut, le mot de passe n’apparaît jamais.

keepass-nouveau-mot-de-passe Un nouveau mot de passe a été généré. Par défaut, il n’apparaît pas en clair. Pour connaître sa valeur il faut cliquer sur les 3 points en face de Password.

keepass-copie-mot-de-passe Grâce à un copier-coller, il est possible de copier le mot de passe sans le connaître.

Il est important de ne pas connaître le mot de passe, car il n’est pas rare d’entendre un utilisateur le dire, au moins partiellement, pendant qu’il le tape.

Il n’est pas toujours possible de coller un mot de passe. Certains site, comme par exemple PayPal à la création d’un compte, n’autorise pas la copie dans la zone de mot de passe. D’autres sites génèrent un clavier numérique aléatoire, comme par exemple le site de la Caisse d’épargne ou celui de Boursorama lors de l’accès à son compte.

Certains sites interdisent aussi l’utilisation de caractères spéciaux et même parfois des lettres accentuées (!). Toutefois, grâce aux paramètres et aux options des gestionnaires de mot de passe, il est possible de s’adapter à chaque exigence particulière des sites web.

Démonstration avec Password Safe

password-safe-entree Une nouvelle entrée pour stocker un compte et son mot de passe a été créée dans Password Safe.

Modification de la stratégie de mot de passe dans Password Safe Il est possible de s’adapter à une stratégie de mot de passe propre à un site en jouant sur ces critères.

Vérification de la complexité des mots de passe

Les études qui portent sur l’analyse des mots de passe utilisés par les internautes révèlent l’utilisation intensive de mots du dictionnaire. Ce qui est une erreur car les cybercriminels vont pouvoir faire des attaques sur les mots de passe en utilisant des dictionnaires gigantesques. Outre les mots des dictionnaires usuels, ces dictionnaires contiennent aussi des noms propres, des noms figurés, des prénoms, des personnages de dessins animés, des jurons, etc.

Cela est vrai aussi pour les altérations de mots du dictionnaire:

  • mots au pluriel,
  • lettres inversées (totalement ou en partie),
  • rajout d’un ou plusieurs chiffres ou caractères spéciaux ($ % ! …) en début ou en fin de mot de passe,
  • abréviations habituelles (Sté pour Société, h pour heure, …)
  • conversions connues (€ pour e, @ pour a, 2 pour de, …)

Idem pour l’utilisation de mots d’une langue étrangère à la vôtre: les cybercriminels sont très ouverts au monde…

La complexité d’un mot de passe dépend de l’usage ou pas de mots du dictionnaire, mais aussi d’autres critères. Par exemple, l’utilisation des lettres adjacentes du clavier est connue aussi. Tout comme la répétition (aaaaaaa) ou la séquence (abcd, 1234, …).

Le mot de passe ne doit surtout pas utiliser des informations personnelles ou de vos proches ou même de vos animaux domestiques:

  • Prénom, surnom, …
  • Date de naissance, d’anniversaire, …
  • Numéro de sécurité sociale, de passeport, de permis, ..
  • etc.

Tous les sites n’offrent pas la possibilité de vérifier la complexité des mots de passe. Les outils de vérification qui existent permettent d’étalonner la complexité mais ils ne garantissent pas la sécurité absolue.

Password Checker

Contrairement à une idée fausse, Microsoft est très soucieux de la sécurité de ses produits. L’outil Password Checker permet de tester la complexité d’un mot de passe en tenant compte de plusieurs critères: longueur globale du mot de passe, mélange de caractères aléatoires, existence du mot dans un dictionnaire, etc.

Si vous ne connaissez pas la réputation de l’éditeur du site web, soyez prudent aussi vis à vis des outils de vérification de mots de passe. Il serait facile pour des cybercriminels de se faire passer pour une honnête organisation en vous proposant de vérifier la solidité de votre mot de passe. Une fois que vous aurez trouvé un mot de passe fort, il pourrait vous proposer un cadeau en échange d’un email et (pourquoi pas !) du nom de votre site web préféré. Restez attentif !

Algorithme de création de mots de passe

Pour les raisons qui viennent d’être évoquées, il ne faut pas utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques.

Cependant, il est parfois impossible de faire autrement. Notamment, lorsque vous utilisez un logiciel de cryptage de données (ce qui sera vu dans un autre billet) ou un gestionnaire de mots de passe (vu plus haut).

En effet, les mots de passe du gestionnaire de mots de passe sont cryptés. Leur décryptage nécessite de déverrouiller la base grâce à un mot de passe que vous devez savoir par cœur.

Il est vrai que les logiciels de cryptage de données ou les gestionnaires de mots de passe vous offrent la possibilité de crypter avec un fichier, par exemple une photo, et donc sans la nécessité d’un mot de passe.

Cependant, il est préférable d’avoir un mot de passe en plus du fichier. Ce mot de passe doit avoir les caractéristiques suivantes:

  • Il ne doit être connu que de vous-même,
  • Vous devez vous en rappeler ou le retrouver aisément,
  • Il doit être très difficile de le découvrir,
  • Il doit être très difficile de le déduire même en vous connaissant bien.

La tâche n’est pas aisée. Aussi, pour vous aider, vous pouvez utiliser la technique décrite ci-dessous. Il est important comprendre que la description d’un procédé automatique de calcul de mot de passe est facilement programmable par un cybercriminel.

Si vous faites preuve de la prudence la plus élémentaire

Sélectionnez une phrase tirée d’un texte que vous connaissez par cœur: chanson, poésie, proverbe, autre. La phrase doit faire au moins une trentaine de caractères, espaces compris. Ne prenez pas une phrase que vous répétez souvent !

Par exemple: Pour le meilleur et pour le pire !

Si vous êtes conscient des dangers potentiels d’internet

Supprimez les espaces entre les mots :
Pourlemeilleuretpourlepire!

Si vous savez qu’il existe des cyber-criminels

Insérer après le second ou le troisième mot, un ou plusieurs chiffres. Par exemple, ce chiffre peut représenter le nombre de mots que vous avez « sautés » ou le nombre de lettres précédentes:
Pourlemeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés

Les spécialistes du crackage du mot de passe savent que les utilisateurs les plus avertis ont l’habitude de mettre une majuscule en début d’un mot de passe et le caractère spécial ou le chiffre à la fin. Aussi, ne laissez pas la majuscule en début du mot de passe. Déplacez la majuscule sur un des mots:
pourleMeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés et dotés de moyens importants

Ne laissez pas le caractère spécial en fin de mot de passe. Déplacez le ailleurs:
pourleMeilleur3etpourle!pire

Quand vous aurez terminé, n’oubliez pas de vérifier la complexité de votre mot de passe ainsi créé avec Password Checker !

Password Checker

Un dernier conseil: n’utilisez surtout pas les mots de passe de cette page !

Créateur de Produits Numériques