Numérique mauvais ?

https://youtu.be/KpcDRs7qdO4

Des possibilités et des dangers

Internet est un formidable outil, plein de possibilités vivantes, passionnantes et qui ne finit pas de nous étonner par sa richesse et ses capacités. Dans ce monde merveilleux, les téléphones mobiles viennent décupler la puissance quasiment sans limite d’Internet.

Cependant, les fabricants et éditeurs n’attirent pas toujours suffisamment votre attention sur les dangers potentiels que recèle cette technologie complexe. Si vous n’en êtes pas convaincu, vous demanderez à l’actrice Scarlett JOHANSSON[1] ce qu’elle a pensé de voir circuler sur le web les photos prises par elle-même où elle dévoile ses magnifiques formes nues. Ces photos ont été volées à partir de son compte email.

Il ne s’agit que d’un exemple anecdotique mais sachez que les usagers d’appareils électroniques sont des victimes potentielles de cybercriminels organisés, intelligents, rusés et dénués de tout scrupule. En effet, ces individus ont compris tout ce qu’ils pouvaient retirer de la richesse d’Internet et des appareils mobiles, comme les tablettes et les smartphones. Pendant ce temps, les objets connectés se répandent dans la vie quotidienne comme une traînée de poudre…

Si vous pensez que le trait est forcé et exagéré, alors vous êtes une proie potentielle et facile pour ces gens-là. C’est tout le paradoxe de cette situation. D’un côté, la victime est généralement à des années lumières de se douter de la malignité des intentions de ces individus. De l’autre, vous avez des personnes qui se lèvent le matin en se demandant « Qui vais-je arnaquer aujourd’hui ? ».

Ces cybercriminels sont très pragmatiques. Ils cherchent à dérober votre argent, vos biens et même votre identité. L’usurpation d’identité est sans aucun doute un des plus grands risques actuels. Heureusement qu’il existe des moyens pour s’en protéger le plus possible. Vous le verrez dans la suite.

[1] http://www.lematin.ch/people/10-ans-prison-nus-scarlett/story/18962456

Qu’Est-ce Qu’un Cookie ?

Les cookies sont des petits fichiers, créés par un serveur Web, et stockés sur votre ordinateur via un navigateur Web.

Normalement, vous ne voyez pas ces fichiers car ils sont stockés dans un répertoire technique de Windows. Ils fournissent un moyen pour les sites Web que vous visitez de vous identifier de manière unique.

Exemple de fonctionnement d’un cookie

Lorsque vous vous connectez sur un site marchand, celui fabrique un cookie qui contient un code unique d’identification généré automatiquement. Dans la base de données du serveur du site marchand, celui associe ce code unique à vos coordonnées : nom, prénom, etc.

Si vous éteignez votre ordinateur, le fichier n’est pas effacé. Lorsque vous vous connecterez à nouveau sur le site marchand, celui-ci cherchera à lire le cookie qu’il a créé. Si le fichier est toujours présent, il extrait le code unique et grâce à l’association dans sa base, il est capable de vous identifier.

Ainsi le site marchand peut afficher votre dernier panier.

L’intérêt du cookie ne s’arrête pas aux sites marchands.

Car le cookie peut aussi garder une trace de vos habitudes et de vos préférences sur le web. Les régies de publicités sur Internet, ainsi que les réseaux d’annonceurs, utilisent des cookies pour suivre les préférences des utilisateurs Web et proposer des annonces sur mesure. Notamment, c’est la technique utilisée par Google et décrite dans l’article Comment supprimer ses traces de Google ?

Les cookies sont-ils sans danger ?

En théorie, un cookie bénéficie de protections renforcées. En effet, le cookie ne peut être lu que par le site web qui l’a crée car il comporte le nom du domaine du site. Par exemple, l’adresse questcequecest.com. Il dispose également d’une date d’expiration au delà de laquelle il est détruit.

Toutefois, dans la pratique, il existe des possibilités, techniquement élaborées, qui permettent à un site web malfaisant d’accéder au contenu d’un cookie. Sous certaines conditions, il est même possible de recréer un faux cookie et donc de se faire passer pour quelqu’un d’autre. A cause de ces techniques de contournement, certains sites web vous demandent régulièrement votre mot de passe pour s’assurer qu’il ne s’agit pas d’une usurpation d’identité numérique.

Régies publicitaires

Il existe aussi un risque d’une tout autre nature. Il s’agit des régies de publicités sur Internet.

En effet, vous avez vu que lorsque vous surfez sur le web, vos goûts et préférences sont stockés dans les cookies. Par exemple, si vous consultez essentiellement des sites de musique à télécharger, le cookie de la régie publicitaire stocke l’information que votre centre d’intérêts est la musique. Vous verrez donc des publicités, par exemple dans Google AdSense, qui présentent des sites de musique. Cela s’appelle la publicité comportementale.

De même, il est maintenant possible de connaître votre emplacement géographique. C’est ce qui s’appelle la géo-localisation ou géo-référencement. Cette information est aussi stockée dans le cookie. Par exemple, si vous surfez dans le grand Lyon, ne soyez pas surpris de voir apparaître principalement des publicités pour des commerces à Tassin-la-Demi-Lune.

Comme les grands sites web confient leurs annonces aux régies publicitaires, celles-ci gèrent la publicité d’un ensemble de plusieurs sites web. Dans ce cas, la régie peut aisément repérer votre parcours sur des sites complètement différents et établir vos habitudes de consommations ou, tout simplement, vos goûts.

Si vous vous identifiez sur un des sites géré par la régie publicitaire, celle-ci pourra vous identifier et associer le profil calculé, grâce au cookie, avec votre compte. La confidentialité de vos préférences est donc compromise.

Est-il possible de supprimer les cookies ?

En effet, il existe plusieurs méthodes efficaces. Pour effacer les cookies, consultez notre article sur l’excellent outil CCleaner. L’inconvénient de CCleaner est qu’il est nécessaire de le passer régulièrement. De plus, si vous supprimez ou interdisez complètement les cookies dans votre navigateur, vous risquez d’en subir les inconvénients : saisie continuelle des identifiants de connexion, perte d’informations personnalisées sur des sites que vous pratiquez régulièrement, etc.

Il existe une autre méthode qui consiste à empêcher uniquement la création des cookies publicitaires.

En particulier, vous disposez des services de la Network Advertising Initiative. Cette association rassemble de nombreuses régies publicitaires. La Network Advertising Initiative vous propose de mettre fin à votre participation à la publicité comportementale pour environ 100 régies publicitaires dont celles de Google, via DoubleClick et Microsoft, via Atlas Technology.

Le fait de mettre fin à sa participation à un réseau signifie que celui-ci cessera d’envoyer des publicités adaptées à vos préférences et habitudes d’utilisation.

Mise à jour automatique des logiciels

La réduction des risques contre les vulnérabilités nécessitent que les versions vulnérables des programmes soient enlevées de votre ordinateur.

Avec Windows Update, Microsoft proposait la mise à jour automatique de leur système d’exploitation Windows. Ensuite, Microsoft a élargi son offre de mise à jour automatique aux autres produits avec Microsoft Update pour les particuliers et Windows Server Update Services (WSUS) pour les entreprises. Ces mises à jour automatisées visent principalement à améliorer la sécurité.

Toutefois, les attaques se concentrent de plus en plus sur les logiciels périphériques comme eux d’Adobe ou d’autres éditeurs dont les produits sont répandus, victimes de leurs succès.

Ces éditeurs proposent des mises à jour régulières de leurs produits mais comment s’assurer que c’est fait correctement pour toutes les applications tierces ?

Afin d’améliorer sa protection il existe des logiciels qui permettent de vérifier, en une fois, que les applications tierces sont bien mises à jour vers les toutes dernières versions sécurisées.

Aussi, pour identifier les installations vulnérables, j’ai testé plusieurs logiciels gratuits comme CNET TechTracker de CBS Interactive, Software Updates Monitor (SUMO) de KC Software et Personal Software Inspector (PSI) de Secunia.

Ces logiciels commencent par faire une analyse (« scan ») des logiciels installés puis ensuite ils communiquent à leur serveur Web le résultat de l’analyse. Le serveur Web dispose d’un référentiel des dernières versions de logiciels. Il compare les versions installées sur votre ordinateur puis il renvoie l’information sur votre ordinateur qui affiche le résultat.

Malgré plusieurs tentatives, CNET TechTracker a refusé de se connecter à leur serveur Web. Devant les problèmes rencontrés avec CNET TechTracker, j’ai renoncé à l’évaluer.

J’ai ensuite testé SUMO. Ce logiciel demande avec beaucoup d’insistance d’installer différents logiciels présentés comme leurs sponsors. Malgré toutes mes dénégations attentives, il a installé un des logiciels en question. Du coup, j’ai arrêté l’évaluation.

Bien que le logiciel PSI propose aussi l’installation d’un logiciel sponsorisé, il n’a pas insisté devant mon refus. Il a réussi à communiquer avec son serveur Web après redémarrage. Si PSI n’arrive pas à procéder à la mise à jour automatique (« Auto Updating »), il propose un lien direct vers la dernière version de chaque logiciel installé sur votre ordinateur.

Grâce à PSI, j’ai découvert que les versions installées d’Adobe Shockwave Player, VMware Player et PHP n’étaient pas à jour. Pour PHP, je pensais l’avoir désinstallé. C’était bien le cas mais phpDesigner procède à une installation silencieuse de PHP.

Autre avantage de PSI: il détecte tout seul l’installation, ou la désinstallation d’un logiciel.

Un test concluant en faveur de PSI.

Vol d’identité sur Internet

Les données privées sont la nouvelle monnaie d’échange sur Internet.

A ceux qui prétendent n’avoir rien à cacher, un juriste leur répondait: « Pourquoi mettez-vous des rideaux à vos fenêtres ? ».

Si le mot peut faire sourire, malgré sa pertinence, la réalité du Web n’est pas toujours gaie.

Le harcèlement d’un individu peut se propager et s’amplifier avec les réseaux sociaux. Ces persécutions conduisent parfois certains jusqu’au suicide. Même si cette situation est exceptionnelle, elle n’en demeure pas moins dramatique.

Qu’est-ce que le vol d’identité ?

Le vol d’identité, ou usurpation d’identité, a lieu lorsqu’une personne récupère des informations personnelles de la victime pour se faire passer pour elle afin de commettre un délit ou un crime.

Cette technique criminelle consiste donc à usurper une identité afin de « brouiller » les pistes et éviter que les forces de l’ordre « remonte » jusqu’au coupable. Celui-ci bénéficie d’un sentiment d’impunité. Cela lui permet de commettre ces crimes sans être inquiété.

Le vol d’identité est le crime qui augmente le plus vite en Californie en… 2002. Dix ans plus tard, ce phénomène est présent en France, Belgique, Suisse et consorts.

Le vol d’identité numérique est une activité criminelle qui prend de plus en en plus d’ampleur. Le vol d’identité consiste à utiliser les informations d’identité (nom, prénom, date de naissance, téléphone, adresse, etc.) d’une autre personne afin de se faire passer pour elle. L’usurpation de plaques d’immatriculations de voiture est aussi une pratique répandue.

Les renseignements personnels concernent des informations qui permettent d’identifier une personne:

  • Le nom, prénom, date et lieu de naissance,
  • Le numéro de téléphone fixe ou mobile,
  • L’adresse physique personnelle ou l’adresse email personnelle,
  • L’adresse physique professionnelle ou l’adresse email professionnelle,
  • Numéro de la carte d’identité ou du passeport,
  • Numéro d’identification nationale,
  • Numéro de permis de conduire,
  • Numéro de compte bancaire et numéro d’identification personnel.

Vous vous demandez certainement comment ces informations peuvent servir des criminels.

A quoi sert l’usurpation d’identité ?

Le vol d’identité permet à un criminel d’obtenir un crédit ou un prêt personnel à votre nom. Tandis que lui obtiendra le montant du prêt, il ne vous restera plus qu’à payer les mensualités.

Il peut aussi faire ouvrir un compte de téléphone cellulaire en usurpant votre nom.

Le criminel peut aussi usurper votre identité pour obtenir un document officiel, comme un permis de conduire avec sa photo et votre nom et adresse.

Dans le domaine de l’emploi, une femme a découvert qu’elle était victime d’une usurpation d’identité en postulant à un travail. L’employeur l’a informé qu’elle était déjà recensée comme salariée de l’entreprise. Dans cet exemple, l’usurpatrice était une proche de la victime.

Un usurpateur peut aussi louer un appartement sous un nom d’emprunt qui correspond à une personne réelle.

Toutefois, le vol d’identité ne se limite pas à des questions d’argent ou de biens matériels. Il peut être bien plus grave.

A la suite d’un banal contrôle des forces de l’ordre, une personne innocente a eu des ennuis (temporaires mais très désagréables) car un criminel agissait sous couvert de son identité et à son insu.

Comment Internet simplifie-t-il le vol d’identité ?

Avec Internet, il devient de plus en plus facile de se faire voler ses renseignements personnels.

Il existe des programmes qui sont spécialisés dans la récupération d’informations personnelles. Ces programmes (spywares) s’installent souvent à votre insu. Vous pouvez les éliminer à l’aide d’un anti-virus généraliste:

ou spécialisé comme ceux-là:

Le vol d’identité simplifié

Le vol d’identité devient de plus en plus simple grâce aux informations personnelles laissées volontairement à la disposition du grand public par les internautes eux-mêmes, les sociétés et même les administrations publiques sur le web.

De manière générale, il est estimé qu’environ 90% des informations sont ouvertes au public. En langage de renseignement, il s’agit d’informations blanches. Une information blanche est une information aisément et licitement accessible.

A titre d’exemple, la toute nouvelle stratégie secrète d’une entreprise peut se trouver publiée dans l’annexe du rapport des commissaires aux comptes. Ce rapport est directement téléchargeable à partir du site Web de l’entreprise concernée.

Pour en revenir au vol d’identité, les sources deviennent littéralement innombrables. Vous allez pouvoir le vérifier par vous-même.

Important. Avant tout, téléchargez, installez et exécutez le logiciel CCleaner qui vous permet d’effacer les cookies de votre ordinateur avant de faire les recherches:
CCleaner
Maintenant, lancez les recherches suivantes sur vous même en combinant les critères.

Par exemple, si je suppose que vous vous nommez John Doe et que vous résidez à VilleBidon, vous pouvez essayer dans Google, puis Yahoo et enfin Bing, les recherches suivantes:

  • « John Doe »
  • « Doe John »
  • JohnDoe
  • John Doe VilleBidon
  • etc.

Vous avez peut-être déjà récupéré un âge, une date de naissance, une ancienne adresse email oubliée.

Faites aussi une recherche à partit de votre adresse email. Par exemple, si votre adresse email est john.doe@emailbidon.com:

  • john.doe@emailbidon.com
  • john.doe (at) emailbidon.dom
  • john.doe (at) email (point) com
  • etc.

Pensez à élargir à d’autres moteurs de recherche que Google. Malgré sa pertinence, il lui arrive de passer à coté de résultats que Yahoo peut trouver par exemple.

La moisson sera encore meilleure avec les sites spécialisés comme:

ou les sites de réseaux sociaux:

Les américains disposent de sites web encore plus intrusifs:

Le premier site permet notamment d’obtenir des informations personnelles comme votre revenu annuel, la valeur de votre maison ou vos antécédents juridiques.

Dans un prochain article, vous saurez comment détruire les preuves de votre présence sur le web.

Lire aussi l’article Comment connaître l’identité de quelqu’un sur Internet ?

Bonnes adresses pour la sécurité informatique

https://youtu.be/ERxMD8wxvao

En matière de sécurité informatique, la France se dote de plus en plus de moyens pertinents. En particulier, les sites gouvernementaux se révèlent de précieux alliés pour lutter contre la cybercriminalité organisée ou la divulgation non autorisée d’informations confidentielles.

L’Agence nationale de la sécurité des systèmes d’information s’adresse au grand public mais aussi aux entreprises.

Ce site riche propose des auto-formations sur des thèmes comme: Administration électronique et SSI, l’authentification, les certificats électroniques, la cryptologie, les mots de passe, la signature numérique, la sécurisation des réseaux, la sécurité du poste de travail, etc.

Il propose aussi des fiches de vulgarisation sur de nombreuses questions liées à la sécurité. Il s’agit souvent de bonnes pratiques avec des informations parfois très précises.

Les sujets couverts sont par exemple: l’achat d’un nom de domaine, les anti-espiogiciel, les antivirus, comment bien utiliser sa carte bancaire, le Bluetooth, les bonnes pratiques de navigation sur l’internet, comment calculer la ’force’ d’un mot de passe, les canulars par messagerie, comment configurer son point d’accès Wi-Fi, etc.

En complément à ces bonnes pratiques, vous trouverez quelques guides de configuration de firewall, d’Ubuntu, Windows Vista, du Wi-Fi.

Enfin, si vous partez en mission à l’étranger, vous trouverez des conseils très pertinents et très précieux sur les précautions à prendre à l’étranger. Notamment, la réglementation de certains pays permet aux autorités de contrôler tous vos documents. Notez que les conseils prodigués sur ce site pour vos voyages à l’étranger peuvent aussi s’appliquer souvent sur le sol français.

Le site de l’agence ANSSI se révèle aussi précieux. Comme indiqué sur leur site: « L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. » Il s’agit donc de se défendre et non d’attaquer.

Dans la partie Bonnes pratiques, les thèmes abordés couvrent de nombreux aspects de la sécurité: comprendre et anticiper les attaques ddos, sécuriser l’administration des systèmes d’information, recommandations de sécurité concernant l’analyse des flux https, poste de travail, messagerie, médias amovibles, liaisons sans fil, copieurs ou imprimantes multifonctions, réseaux, applications WEB, etc.

Les Logiciels préconisés par l’ANSSI concernent: l’administration de la sécurité, le chiffrement IP, les infrastructures de Gestion de Clés (IGC), les Pare-feu, la protection du poste de travail, les ressources cryptographiques, les signatures électroniques et la gestion de la preuve, les titres d’identité électroniques, etc.

Enfin, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend aussi de l’ANSSI, alerte sur les vulnérabilités des systèmes d’information.

Compte tenu de la richesse des informations recueillies par le CERTA et l’ANSSI, le mieux est de s’abonner à leurs flux RSS.