Les Pièges d’Internet et du Numérique

Internet est un formidable outil, plein de possibilités vivantes, passionnantes et qui ne finit pas de nous étonner par sa richesse et ses capacités.

Dans ce monde merveilleux, les téléphones mobiles viennent décupler la puissance quasiment sans limite d’Internet.

Toutefois, il existe des pièges à connaître.

Risques cachées

Les fabricants et éditeurs n’attirent pas toujours suffisamment votre attention sur les dangers potentiels que recèle cette technologie complexe. Si vous n’en êtes pas convaincu, demanderez à l’actrice Scarlett JOHANSSON ce qu’elle a pensé de voir circuler sur le web les photos prises par elle-même où elle dévoile ses magnifiques formes nues. Ces photos ont été volées à partir de son compte email.

Il ne s’agit que d’un exemple anecdotique mais sachez que les usagers d’appareils électroniques sont des victimes potentielles de cybercriminels organisés, intelligents, rusés et dénués de tout scrupule. En effet, ces individus ont compris tout ce qu’ils pouvaient retirer de la richesse d’Internet et des appareils mobiles, comme les tablettes et les smartphones.

Pendant ce temps, les objets connectés se répandent dans la vie quotidienne comme une traînée de poudre…

Ne pas devenir une proie facile

Si vous pensez que le trait est forcé et exagéré, alors vous êtes une proie potentielle et facile pour ces gens-là. C’est tout le paradoxe de cette situation. D’un côté, la victime est généralement à des années lumières de se douter de la malignité des intentions de ces individus.

De l’autre, vous avez des personnes qui se lèvent le matin en se demandant « Qui vais-je arnaquer aujourd’hui ? ».

Ces cybercriminels sont très pragmatiques. Ils cherchent à dérober votre argent, vos biens et même votre identité. L’usurpation d’identité est sans aucun doute un des plus grands risques actuels. Heureusement qu’il existe des moyens pour s’en protéger le plus possible. Vous le verrez dans la suite.

Éducation numérique

Dans le monde numérique, votre protection et celle de vos proches repose sur des outils informatiques, par exemple l’antivirus.

Cependant, il en est des outils informatiques comme de tous les outils : il faut comprendre leur fonctionnement, leur rôle et leur utilité pour bien les utiliser.

L’éducation est essentielle. Elle permet d’éviter les erreurs les plus fréquentes. Elle permet aussi d’aider ses proches, sa famille, ses amis, ses collègues, les internautes pour éviter de se faire avoir.

Attaques parfois simples

Plus vous en saurez sur les causes des risques informatiques, moins vous serez exposé aux conséquences parfois dramatiques des actions des cybercriminels.

Encore une fois, ne croyez pas qu’il faut avoir le cerveau d’Einstein pour se protéger de toutes les attaques des cybercriminels. Même si les attaques sont de plus en plus sophistiquées, les méthodes de protection restent simples. Vous verrez bientôt pourquoi.

Par ailleurs, il serait faux de s’imaginer que toutes les cyberattaques nécessitent des moyens colossaux et sont créées par des génies malfaisants de l’informatique. C’est parfois vrai mais il s’agit dans ce cas d’attaques qui visent les États, les organismes publics ou les entreprises.

Analogie avec le monde animal

Lorsque vous observez un prédateur du monde animal, vous remarquez qu’il s’attaque toujours au plus petit, au plus faible. Il cherche à s’emparer de l’animal de la horde qui est malade ou isolé.

Autrement dit le prédateur cherche à s’emparer de celui qui pourra le moins bien se défendre, qui lui rendra la tâche la moins difficile et pour lequel il devra dépenser le moins possible d’énergie, de fatigue et de temps.

Le cybercriminel ordinaire n’agit pas autrement. En général, il s’attaque à celui qui saura le moins bien se protéger et qui présentera le moins de difficulté à se faire dérober son argent, son identité ou sa réputation par exemple.

Téléchargez la vidéo : Les Pièges d’Internet et du Numérique.

AVERTISSEMENT: Cette série de vidéo présente des informations de nature générale sur les méthodes de protection en matière de sécurité informatique. Elle a comme unique objectif de vous enseigner des méthodes ou outils traditionnels pour vous préserver le plus possible des attaques des cybercriminels. Les outils présentés ne doivent être manipulés que pour un usage strictement personnel à des fins de protection ou de dépannage. Toute autre utilisation (en particulier et sans être exhaustif: fraude, piratage, tentative d’intrusion dans un système d’information, etc.) est illégale et est généralement sévèrement condamnée par la plupart des pays, dont la France. Cette série de vidéos étant à but purement pédagogique, je décline toute responsabilité dans l’utilisation des informations qui y figurent.

Est-Il Possible d’Avoir un Site Web Totalement Anonyme ?

Si le propriétaire d’un site web n’a pas pris de précautions, il est facile de connaître son identité (nom, prénom) mais aussi son adresse personnelle et son numéro de téléphone.

Toutes ces informations sont stockées dans un annuaire central qui s’appelle Whois. Il existe des sites web qui proposent d’interroger gratuitement cet annuaire, comme par exemple, whois.domaintools.com.

S’ils ont votre numéro de téléphone, certains internautes n’hésitent pas alors à vous appeler un dimanche pour exposer leurs problèmes personnels ou pire encore.

Cacher ses informations personnelles

Afin de protéger son identité ou d’éviter des harceleurs, les hébergeurs de sites web proposent des services qui cachent les informations personnelles.

De cette manière l’adresse, le numéro de téléphone et l’émail du propriétaire du site web sont remplacés par ceux de l’hébergeur.

En revanche, votre nom et prénom peuvent toujours être apparents. Certains hébergeurs de site Web proposent maintenant de cacher aussi votre nom et prénom.

Si vous souhaitez préserver totalement votre vie privée personnelle et familiale, cette solution est insuffisante. Une recherche dans un moteur de recherches et un peu d’ingéniosité permet parfois de retrouver les coordonnées de la personne.

Renforcer sa tranquillité

Aussi, vous pouvez souhaiter qu’il ne soit pas possible de vous retrouver à partir de votre site web.

Dans cet article je n’aborde pas les aspects législatifs liés aux obligations de déclaration d’un site web car ils dépendent de chaque pays. N’utilisez pas non plus ces techniques pour violer la loi. Les forces de l’ordre vous retrouveront un jour ou l’autre.

Des sociétés spécialisées proposent de renforcer considérablement la confidentialité de ces informations.

Par exemple, le site Domains by Proxy® propose des services qui masquent totalement vos coordonnées dans le Whois.

Pour moins de 10 € / an, cette société américaine cache toutes vos coordonnées personnelles. Elle ne les révèle que sur réquisition légale. Elle le fera aussi si vous profitez de l’anonymat pour faire du spam, violer la loi, ou vous livrer à des activités moralement répréhensibles.

Si vous êtes citoyen européen, vous pouvez aussi renforcer la protection de vos données personnelles pour un coût raisonnable en faisant héberger votre site sur un site américain comme, par exemple, Go Daddy.

Il deviendra encore plus difficile à un spammeur ou un harceleur de trouver vos coordonnées personnelles. Go Daddy travaille en collaboration avec Domains by Proxy®.

Pour savoir comment vous pouvez effacer vos informations personnelles sur le web.

Comment effacer ses informations sur un moteur de recherche ?

En France, la Commission nationale de l’informatique et des libertés (CNIL) a publié une fiche pratique qui explique comment effacer ses informations sur un moteur de recherche.

Index des moteurs de recherches

Les moteurs recherche (Google, Bing, Yahoo, etc) utilisent des programmes qui balaient tous les contenus trouvés sur Internet. Ce contenu sert à créer un index qui est stocké chez le fournisseur du moteur de recherche. L’index est stocké dans d’immenses bases de données.

Ensuite, les internautes interrogent cet index pour trouver l’information. Les recherches que vous soumettez au moteur de recherche sont analysées par celui-ci pour vous répondre mais pas seulement.

En effet, le moteur de recherche stocke systématiquement vos recherches et les analysent pour identifier vos centres d’intérêts. Si vous tapez « recette gâteau », votre centre d’intérêts sera classé comme étant « Culinaire ».

Grâce aux liens sur lesquels vous cliquez suite à la recherche, les moteurs de recherche connaissent aussi les sites que vous fréquentez.

D’autres techniques, associées au moteur de recherche, permettent de croiser finement ces informations.

Plus simplement, le seul fait de vous êtes connecté sur un moteur de recherche leur donne votre localisation géographique grâce à votre adresse IP.

L’index des moteurs de recherche est régulièrement augmenté à partir des nouveaux contenus. De même, il est aussi rafraîchi si le contenu existant d’un site web est mis à jour.

La première démarche à avoir pour effacer ses informations d’un moteur de recherche consiste donc à supprimer les informations stockées sur un site web qui vous concernent.

Dans cette fiche pratique, la CNIL vous explique comment contacter le responsable du site. Celui-ci a la possibilité de supprimer vos informations de son site. Il peut aussi demander aux responsables du moteur de recherche de faire disparaître les informations encore présentes dans leur cache.

Cache des moteurs de recherche

En effet, les moteurs de recherche, toujours avides d’informations, gardent les anciens index dans un « super-index » appelé « cache ». Aussi, pour effacer intelligemment ses traces d’Internet, il faut que le responsable du site demande d’effacer le cache concerné des moteurs de recherche.

Cela pose un sérieux problème avec les sites web qui n’existent plus mais dont le contenu est toujours présent dans le cache. Même si un site web a disparu, les moteurs de recherche peuvent continuer à stocker les informations du site dans le cache.

Cette situation n’est pas toujours liée au fonctionnement des moteurs de recherche. Elle est aussi due à des pratiques de certains sites, généralement hébergés hors de votre pays, qui reprennent le contenu des sites existants en le présentant différemment.

Sites web à l’étranger

Une autre difficulté surgit avec les sites web à l’étranger qui hébergent des informations vous concernant (Facebook, Twitter, etc.). Les sites web situés à l’étranger n’obéissent pas à la réglementation locale.

Si la méthode proposée par la CNIL française peut être valable en France, elle se heurtera à des fins de non-recevoir de la part des sites hébergés à l’étranger dans la plupart des cas.

Bien évidemment des sites web de notoriété mondiale peuvent être sensibles à leurs images pour des raisons purement commerciales et ils peuvent, pour cette raisons, accepter de se plier aux injonctions d’organismes publics.

A contrario, les sites web de moindre notoriété, ou à la solde de personnes sans scrupule, peuvent compter sur les faiblesses des composantes de la société civile, comme par exemple:

  • Souveraineté nationale
  • Législation différente
  • Absence de véritable coopération
  • Inertie
  • etc.

Dans un prochain article, vous saurez comment préservez votre tranquillité.

Vol d’identité sur Internet

Les données privées sont la nouvelle monnaie d’échange sur Internet.

A ceux qui prétendent n’avoir rien à cacher, un juriste leur répondait: « Pourquoi mettez-vous des rideaux à vos fenêtres ? ».

Si le mot peut faire sourire, malgré sa pertinence, la réalité du Web n’est pas toujours gaie.

Le harcèlement d’un individu peut se propager et s’amplifier avec les réseaux sociaux. Ces persécutions conduisent parfois certains jusqu’au suicide. Même si cette situation est exceptionnelle, elle n’en demeure pas moins dramatique.

Qu’est-ce que le vol d’identité ?

Le vol d’identité, ou usurpation d’identité, a lieu lorsqu’une personne récupère des informations personnelles de la victime pour se faire passer pour elle afin de commettre un délit ou un crime.

Cette technique criminelle consiste donc à usurper une identité afin de « brouiller » les pistes et éviter que les forces de l’ordre « remonte » jusqu’au coupable. Celui-ci bénéficie d’un sentiment d’impunité. Cela lui permet de commettre ces crimes sans être inquiété.

Le vol d’identité est le crime qui augmente le plus vite en Californie en… 2002. Dix ans plus tard, ce phénomène est présent en France, Belgique, Suisse et consorts.

Le vol d’identité numérique est une activité criminelle qui prend de plus en en plus d’ampleur. Le vol d’identité consiste à utiliser les informations d’identité (nom, prénom, date de naissance, téléphone, adresse, etc.) d’une autre personne afin de se faire passer pour elle. L’usurpation de plaques d’immatriculations de voiture est aussi une pratique répandue.

Les renseignements personnels concernent des informations qui permettent d’identifier une personne:

  • Le nom, prénom, date et lieu de naissance,
  • Le numéro de téléphone fixe ou mobile,
  • L’adresse physique personnelle ou l’adresse email personnelle,
  • L’adresse physique professionnelle ou l’adresse email professionnelle,
  • Numéro de la carte d’identité ou du passeport,
  • Numéro d’identification nationale,
  • Numéro de permis de conduire,
  • Numéro de compte bancaire et numéro d’identification personnel.

Vous vous demandez certainement comment ces informations peuvent servir des criminels.

A quoi sert l’usurpation d’identité ?

Le vol d’identité permet à un criminel d’obtenir un crédit ou un prêt personnel à votre nom. Tandis que lui obtiendra le montant du prêt, il ne vous restera plus qu’à payer les mensualités.

Il peut aussi faire ouvrir un compte de téléphone cellulaire en usurpant votre nom.

Le criminel peut aussi usurper votre identité pour obtenir un document officiel, comme un permis de conduire avec sa photo et votre nom et adresse.

Dans le domaine de l’emploi, une femme a découvert qu’elle était victime d’une usurpation d’identité en postulant à un travail. L’employeur l’a informé qu’elle était déjà recensée comme salariée de l’entreprise. Dans cet exemple, l’usurpatrice était une proche de la victime.

Un usurpateur peut aussi louer un appartement sous un nom d’emprunt qui correspond à une personne réelle.

Toutefois, le vol d’identité ne se limite pas à des questions d’argent ou de biens matériels. Il peut être bien plus grave.

A la suite d’un banal contrôle des forces de l’ordre, une personne innocente a eu des ennuis (temporaires mais très désagréables) car un criminel agissait sous couvert de son identité et à son insu.

Comment Internet simplifie-t-il le vol d’identité ?

Avec Internet, il devient de plus en plus facile de se faire voler ses renseignements personnels.

Il existe des programmes qui sont spécialisés dans la récupération d’informations personnelles. Ces programmes (spywares) s’installent souvent à votre insu. Vous pouvez les éliminer à l’aide d’un anti-virus généraliste:

ou spécialisé comme ceux-là:

Le vol d’identité simplifié

Le vol d’identité devient de plus en plus simple grâce aux informations personnelles laissées volontairement à la disposition du grand public par les internautes eux-mêmes, les sociétés et même les administrations publiques sur le web.

De manière générale, il est estimé qu’environ 90% des informations sont ouvertes au public. En langage de renseignement, il s’agit d’informations blanches. Une information blanche est une information aisément et licitement accessible.

A titre d’exemple, la toute nouvelle stratégie secrète d’une entreprise peut se trouver publiée dans l’annexe du rapport des commissaires aux comptes. Ce rapport est directement téléchargeable à partir du site Web de l’entreprise concernée.

Pour en revenir au vol d’identité, les sources deviennent littéralement innombrables. Vous allez pouvoir le vérifier par vous-même.

Important. Avant tout, téléchargez, installez et exécutez le logiciel CCleaner qui vous permet d’effacer les cookies de votre ordinateur avant de faire les recherches:
CCleaner
Maintenant, lancez les recherches suivantes sur vous même en combinant les critères.

Par exemple, si je suppose que vous vous nommez John Doe et que vous résidez à VilleBidon, vous pouvez essayer dans Google, puis Yahoo et enfin Bing, les recherches suivantes:

  • « John Doe »
  • « Doe John »
  • JohnDoe
  • John Doe VilleBidon
  • etc.

Vous avez peut-être déjà récupéré un âge, une date de naissance, une ancienne adresse email oubliée.

Faites aussi une recherche à partit de votre adresse email. Par exemple, si votre adresse email est john.doe@emailbidon.com:

  • john.doe@emailbidon.com
  • john.doe (at) emailbidon.dom
  • john.doe (at) email (point) com
  • etc.

Pensez à élargir à d’autres moteurs de recherche que Google. Malgré sa pertinence, il lui arrive de passer à coté de résultats que Yahoo peut trouver par exemple.

La moisson sera encore meilleure avec les sites spécialisés comme:

ou les sites de réseaux sociaux:

Les américains disposent de sites web encore plus intrusifs:

Le premier site permet notamment d’obtenir des informations personnelles comme votre revenu annuel, la valeur de votre maison ou vos antécédents juridiques.

Dans un prochain article, vous saurez comment détruire les preuves de votre présence sur le web.

Lire aussi l’article Comment connaître l’identité de quelqu’un sur Internet ?

Comment protéger ses informations personnelles avec un mot de passe ?

Certains sites web vous demandent un mot de passe pour protéger vos informations personnelles: sites financiers ou marchands, comptes emails, etc. Ce mot de passe est associé à un compte ou à une adresse email.

Le mot de passe est la clef de voûte de votre sécurité.

Si vous voulez augmenter la sécurité de vos mots de passe, vous trouverez ci-dessous les conseils sur ce qu’il ne faut pas faire et ce qu’il est préférable de faire. Les explications détaillées sont présentées avec les outils.

Ce qu’il ne faut pas faire

  • Connaître ses mots de passe ou choisir des mots de passe faciles à se rappeler,
  • Choisir le même mot de passe pour tous les sites,
  • Utiliser une série de mots de passe identiques; chaque mot de passe est associé à des sites de niveaux de confidentialités similaires,
  • Utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques,
  • Stocker ses mots de passe dans une feuille Excel protégée elle-même par un mot de passe.

Ce qu’il faut faire

  • Ne pas connaître ses mots de passe (cf. plus bas),
  • Avoir un mot de passe généré aléatoirement,
  • Générer aléatoirement un mot de passe à partir d’une combinaison de lettres MAJUSCULES, minuscules, de chiffres et de symboles (par exemple: % $ ! etc.), si c’est autorisé par le site web. Les caractères spéciaux doivent se trouver aussi au milieu du mot de passe et pas seulement au début ou à la fin du mot de passe,
  • Quand c’est possible, avoir un mot de passe d’au moins 28 caractères,
  • Avoir un mot de passe différent par site web,
  • Stocker tous ces mots de passe dans un gestionnaire de mots de passe. Le gestionnaire de mots de passe est une sorte de coffre-fort logiciel.

Outils gratuits

Plus un mot de passe est long et plus il est difficile de s’en souvenir avec exactitude. Pourtant un mot de passe long est aussi plus difficile à percer. Actuellement, il est estimé qu’un mot de passe complexe et aléatoire de 64 caractères résisterait aux attaques de force brute menées par les organismes gouvernementaux.

Dans la pratique, les sites web acceptent rarement d’aussi long mots de passe. Ils limitent souvent à 20 caractères et parfois moins, la longueur des mots de passe. Toutefois, vous avez tout intérêt à utiliser des mots de passe de 28 caractères minimum quand c’est possible. Attention de ne pas prendre trop à la lettre le fait d’avoir un mot de passe de 28 caractères. Une longueur de 27, 30, 31 ou 43 fait aussi l’affaire.

Les outils présentés ci-dessous, vont vous permettre de mettre en application le principe d’avoir des mots de passe longs, complexes et aléatoires. Ils vous permettent même d’utiliser vos mots de passe sans jamais les connaître !

Gestionnaire de mots de passe

Il s’agit d’utilitaires de base de données de mots de passe. Les utilisateurs peuvent conserver leurs mots de passe cryptés sur leurs ordinateurs. Une seule combinaison du coffre les déverrouille tous.

Dans la vraie vie, il n’est pas possible de se rappeler tous les mots de passe: connexion au réseau Windows, compte e-mail, compte FTP de votre site web, etc.

En outre, vous devez utiliser un mot de passe différent pour chaque compte. Si vous utilisez un seul mot de passe sur tous les sites, ou sur une certaine catégorie de sites, il suffit qu’un cybercriminel vole le mot de passe sur un site peu protégé pour se connecter sur d’autres sites comme celui que vous utilisez pour gérer vos emails ou votre compte bancaire.

Stocker ses mots de passe dans un document Excel, ou Word, protégé lui-même n’est pas suffisant non plus. Bien que Microsoft ait largement renforcé la sécurité des documents dans les nouvelles versions (Office 2007 et surtout Office 2010 / 2014), ce n’est pas le cas des versions anciennes (2003 et avant) qui restent facilement « crackables ».

Les gestionnaires de mot de passe vous aident à gérer vos mots de passe de manière sécurisée. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé maître et / ou un fichier clé et / ou votre compte Windows. Il suffit donc de se rappeler un mot de passe principal et / ou de sélectionner le fichier clé pour déverrouiller la base de données avec les mots de passe cryptés.

KeePass Password Safe
KeePass est certifié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Password Safe
La communauté autour de Password Safe est aussi très active. Password Safe affiche peu d’informations à l’écran, ce qui est positif.

L’avantage d’un gestionnaire de mot de passe est de pouvoir les générer automatiquement. Il est aussi possible de copier-coller le mot de passe, ainsi que l’identifiant du compte, l’URL et d’autres informations. De cette manière, vous n’êtes pas obligé de connaître votre mot de passe.

Démonstration avec KeePass

keepass-creation-compte Une entrée est créée dans Keepass pour stocker le mot de passe du compte email. Un mot de passe est généré automatiquement.

keepass-generation-mot-de-passe Un nouveau mot de passe peut être généré. Dans Keepass, la complexité est exprimée en bits. Plus le nombre de bits est grand, plus la complexité est importante. Par défaut, le mot de passe n’apparaît jamais.

keepass-nouveau-mot-de-passe Un nouveau mot de passe a été généré. Par défaut, il n’apparaît pas en clair. Pour connaître sa valeur il faut cliquer sur les 3 points en face de Password.

keepass-copie-mot-de-passe Grâce à un copier-coller, il est possible de copier le mot de passe sans le connaître.

Il est important de ne pas connaître le mot de passe, car il n’est pas rare d’entendre un utilisateur le dire, au moins partiellement, pendant qu’il le tape.

Il n’est pas toujours possible de coller un mot de passe. Certains site, comme par exemple PayPal à la création d’un compte, n’autorise pas la copie dans la zone de mot de passe. D’autres sites génèrent un clavier numérique aléatoire, comme par exemple le site de la Caisse d’épargne ou celui de Boursorama lors de l’accès à son compte.

Certains sites interdisent aussi l’utilisation de caractères spéciaux et même parfois des lettres accentuées (!). Toutefois, grâce aux paramètres et aux options des gestionnaires de mot de passe, il est possible de s’adapter à chaque exigence particulière des sites web.

Démonstration avec Password Safe

password-safe-entree Une nouvelle entrée pour stocker un compte et son mot de passe a été créée dans Password Safe.

Modification de la stratégie de mot de passe dans Password Safe Il est possible de s’adapter à une stratégie de mot de passe propre à un site en jouant sur ces critères.

Vérification de la complexité des mots de passe

Les études qui portent sur l’analyse des mots de passe utilisés par les internautes révèlent l’utilisation intensive de mots du dictionnaire. Ce qui est une erreur car les cybercriminels vont pouvoir faire des attaques sur les mots de passe en utilisant des dictionnaires gigantesques. Outre les mots des dictionnaires usuels, ces dictionnaires contiennent aussi des noms propres, des noms figurés, des prénoms, des personnages de dessins animés, des jurons, etc.

Cela est vrai aussi pour les altérations de mots du dictionnaire:

  • mots au pluriel,
  • lettres inversées (totalement ou en partie),
  • rajout d’un ou plusieurs chiffres ou caractères spéciaux ($ % ! …) en début ou en fin de mot de passe,
  • abréviations habituelles (Sté pour Société, h pour heure, …)
  • conversions connues (€ pour e, @ pour a, 2 pour de, …)

Idem pour l’utilisation de mots d’une langue étrangère à la vôtre: les cybercriminels sont très ouverts au monde…

La complexité d’un mot de passe dépend de l’usage ou pas de mots du dictionnaire, mais aussi d’autres critères. Par exemple, l’utilisation des lettres adjacentes du clavier est connue aussi. Tout comme la répétition (aaaaaaa) ou la séquence (abcd, 1234, …).

Le mot de passe ne doit surtout pas utiliser des informations personnelles ou de vos proches ou même de vos animaux domestiques:

  • Prénom, surnom, …
  • Date de naissance, d’anniversaire, …
  • Numéro de sécurité sociale, de passeport, de permis, ..
  • etc.

Tous les sites n’offrent pas la possibilité de vérifier la complexité des mots de passe. Les outils de vérification qui existent permettent d’étalonner la complexité mais ils ne garantissent pas la sécurité absolue.

Password Checker

Contrairement à une idée fausse, Microsoft est très soucieux de la sécurité de ses produits. L’outil Password Checker permet de tester la complexité d’un mot de passe en tenant compte de plusieurs critères: longueur globale du mot de passe, mélange de caractères aléatoires, existence du mot dans un dictionnaire, etc.

Si vous ne connaissez pas la réputation de l’éditeur du site web, soyez prudent aussi vis à vis des outils de vérification de mots de passe. Il serait facile pour des cybercriminels de se faire passer pour une honnête organisation en vous proposant de vérifier la solidité de votre mot de passe. Une fois que vous aurez trouvé un mot de passe fort, il pourrait vous proposer un cadeau en échange d’un email et (pourquoi pas !) du nom de votre site web préféré. Restez attentif !

Algorithme de création de mots de passe

Pour les raisons qui viennent d’être évoquées, il ne faut pas utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques.

Cependant, il est parfois impossible de faire autrement. Notamment, lorsque vous utilisez un logiciel de cryptage de données (ce qui sera vu dans un autre billet) ou un gestionnaire de mots de passe (vu plus haut).

En effet, les mots de passe du gestionnaire de mots de passe sont cryptés. Leur décryptage nécessite de déverrouiller la base grâce à un mot de passe que vous devez savoir par cœur.

Il est vrai que les logiciels de cryptage de données ou les gestionnaires de mots de passe vous offrent la possibilité de crypter avec un fichier, par exemple une photo, et donc sans la nécessité d’un mot de passe.

Cependant, il est préférable d’avoir un mot de passe en plus du fichier. Ce mot de passe doit avoir les caractéristiques suivantes:

  • Il ne doit être connu que de vous-même,
  • Vous devez vous en rappeler ou le retrouver aisément,
  • Il doit être très difficile de le découvrir,
  • Il doit être très difficile de le déduire même en vous connaissant bien.

La tâche n’est pas aisée. Aussi, pour vous aider, vous pouvez utiliser la technique décrite ci-dessous. Il est important comprendre que la description d’un procédé automatique de calcul de mot de passe est facilement programmable par un cybercriminel.

Si vous faites preuve de la prudence la plus élémentaire

Sélectionnez une phrase tirée d’un texte que vous connaissez par cœur: chanson, poésie, proverbe, autre. La phrase doit faire au moins une trentaine de caractères, espaces compris. Ne prenez pas une phrase que vous répétez souvent !

Par exemple: Pour le meilleur et pour le pire !

Si vous êtes conscient des dangers potentiels d’internet

Supprimez les espaces entre les mots :
Pourlemeilleuretpourlepire!

Si vous savez qu’il existe des cyber-criminels

Insérer après le second ou le troisième mot, un ou plusieurs chiffres. Par exemple, ce chiffre peut représenter le nombre de mots que vous avez « sautés » ou le nombre de lettres précédentes:
Pourlemeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés

Les spécialistes du crackage du mot de passe savent que les utilisateurs les plus avertis ont l’habitude de mettre une majuscule en début d’un mot de passe et le caractère spécial ou le chiffre à la fin. Aussi, ne laissez pas la majuscule en début du mot de passe. Déplacez la majuscule sur un des mots:
pourleMeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés et dotés de moyens importants

Ne laissez pas le caractère spécial en fin de mot de passe. Déplacez le ailleurs:
pourleMeilleur3etpourle!pire

Quand vous aurez terminé, n’oubliez pas de vérifier la complexité de votre mot de passe ainsi créé avec Password Checker !

Password Checker

Un dernier conseil: n’utilisez surtout pas les mots de passe de cette page !

Ce que Google sait sur vous

Niveau: Débutant.

En tapant http://www.google.com/ads/preferences dans votre navigateur Internet, vous obtiendrez le Gestionnaire de préférences pour les annonces de Google.

Dans ce gestionnaire, vous verrez les centres d’intérêt ainsi que vos données démographiques qu’il a pu déduire sur vous.

Les familles de centre d’intérêts sont :

  • Actualités,
  • Alimentation et boissons,
  • Animaux et animaux de compagnie,
  • Arts et divertissements,
  • Automobiles et véhicules,
  • Communautés en ligne,
  • Emploi et enseignement,
  • Finance,
  • Hobbies et loisirs,
  • Immobilier,
  • Individus et société,
  • Informatique et électronique,
  • Internet et télécoms,
  • Jeux,
  • Justice et administrations,
  • Livres et littérature,
  • Localités dans le monde,
  • Maison et jardinage,
  • Marchés commerciaux et industriels,
  • Références,
  • Sciences,
  • Shopping,
  • Soins du corps et remise en forme,
  • Sports,
  • Voyages.

Ces familles se ramifient en sous-familles, qui à leur tour, peuvent se ramifier. Par exemple: Shopping > Habillement > Accessoires vestimentaires > Sacs à main et porte-monnaie.

Les données démographiques concernent votre Sexe et votre Âge, qui sont déduites.

Ces informations sont collectées lorsque vous tapez une requête dans le moteur de recherche de Google, ou lorsque vous cliquez sur une publicité Google AdSense, ou encore en sélectionnant des vidéos sur Youtube. Les informations sont stockées dans un cookie qui est associé à votre navigateur et stocké sur votre ordinateur. Selon eux, ils ne collectent jamais des informations personnelles. Autrement dit, ils ne stockeraient pas dans leurs bases votre préférence pour les glaces au chocolat. De même, selon eux, Google n’associe aucun centre d’intérêt sensible à vos préférences pour les annonces, sans préciser la nature d’un centre d’intérêt sensible (politique, religieux, orientation sexuelle, syndicalisme, autres ?).

Leurs objectifs, et leurs intérêts, est de faire apparaître des annonces les plus en rapport avec vos centres d’intérêt.

De votre côté, vous pouvez ajouter, supprimer ou modifier les centres d’intérêts vous concernant grâce au Gestionnaire de préférences pour les annonces.

Vous pouvez aussi désactiver le cookie afin que les annonces publicitaires ne soient plus personnalisées avec vos centres d’intérêt et vos données démographiques. Si vous désactivez le cookie, Google n’associera plus de centres d’intérêt ni de catégories démographiques à votre navigateur. Google communiquera aussi votre décision aux régies publicitaires avec lesquelles il travaille. Ainsi, ces régies publicitaires cesseront d’utiliser le cookie de Google.

Enfin, Google étant membre de la Advertising Network Initiative, vous pouvez en profiter pour désactiver les cookies utilisés par les autres sociétés pour les annonces par centres d’intérêt. Pour cela, accédez à la page de sélection aboutads.info et décochez les cases en face du nom des régies publicitaires.

L’utilisation d’un outil comme CCleaner permet d’éliminer les cookies. Hors quand vous désactiver le cookie publicitaire de Google, celui-ci stocke dans un autre cookie votre choix. Du coup, Google ne peut plus savoir que vous ne voulez pas avoir de cookie publicitaire (vous m’avez suivi ?).

Aussi, si vous souhaitez désactiver de façon permanente la personnalisation des annonces via les cookies, vous pouvez installer le plug-in Enregistrement de mes désactivations. Actuellement, il fonctionne avec le navigateur Chrome de Google, Internet Explorer, FireFox et Safari.

Être anonyme sur Internet

Comment devenir anonyme sur Internet : http://www.jesaisquivousetes.com/comment-devenir-anonyme-internet/#post-32

Comment changer et camoufler votre user-agent : http://www.jesaisquivousetes.com/changer-camoufler-user-agent/#post-34

Créez votre propre fournisseur de mails pour survivre sur Internet : http://www.jesaisquivousetes.com/creer-fournisseur-de-mails-illimite-gratuit/#post-36

Configurer votre Facebook pour ne laisser fuir aucune information privée : http://www.jesaisquivousetes.com/regler-confidentialite-facebook/#post-41

Google Demande de suppression de résultat de recherche au titre de la législation européenne en matière de protection des données : https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=fr

Méthodes conventionnelles pour lutter contre l’usurpation d’identité

Niveau: Débutant.

Internet simplifie le vol d’identité. Aussi, il est évident que cette pratique va s’amplifier de plus en plus. Toutefois l’usurpation d’identité se répand dans le monde réel. Parfois, les usurpateurs se révèlent être des proches des victimes. Cette situation étant plus fréquente qu’on ne l’imagine.

Un exemple est à lire dans l’article L’échevin des travaux de Stavelot va porter plainte pour usurpation d’identité.

Comment se protéger contre l’usurpation d’identité ?

La meilleure technique pour se protéger contre l’usurpation d’identité est d’éviter se la faire voler. Ce n’est pas une provocation gratuite. C’est du bon sens.

Surveillez l’arrivée de vos factures

Si vous ne recevez pas vos factures d’électricité, d’eau, de gaz ou de téléphone, contactez la compagnie concernée pour vérifier l’adresse qu’ils ont enregistrée pour vos factures. L’objectif est de vérifier que ces factures n’ont pas été illicitement détournées.

Vérifiez vos comptes bancaires

La finalité de l’usurpation d’identité est généralement lucrative.

Si c’est le cas, des anomalies apparaîtront sur vos relevés de compte. Dans ce cas, si vous pointez systématiquement vos relevés de comptes, vous découvrirez des débits pour lesquels vous n’avez aucune trace. Vous pourrez agir rapidement auprès de votre banque ou de votre organisme financier.

Certaines victimes ont mis des mois avant de s’apercevoir que des petites sommes étaient prélevées sur leurs comptes. Les cybercriminels prenaient soin de subtiliser des montants anodins afin de ne pas éveiller les soupçons. Par ailleurs la victime ne rapprochait jamais ses dépenses avec son relevé de compte. C’est à l’occasion d’un contrôle inhabituel des dépenses que la victime a détecté la fraude.

M. Sarkozy, ancien président français, a été victime d’une fraude de ce type. Les escrocs avaient ouvert 150 lignes de téléphonie mobile en utilisant les coordonnées bancaires appartenant à une quarantaine de personnes, dont les siennes. Ils avaient pu les récupérer grâce à un de leurs complices qui travaillait dans une société qui gère notamment les abonnements d’un opérateur de télévision câblée, où il avait accès aux coordonnées bancaires de tous les clients, dont celui de M. Sarkozy. Celui-ci aurait remarqué des prélèvements douteux sur son compte personnel pour un montant inférieur à 200 euros et il a ensuite porté plainte.

Déchiquetez vos documents personnels

Vous trouvez probablement répugnant de fouiller les poubelles à la recherche de documents personnels parmi les vieilles pelures de bananes et les odeurs fétides. Pourtant, dès qu’il s’agit d’argent gagné facilement, les escrocs ne s’arrêtent pas à ce genre de détails.

Il existe encore des escrocs « old school » qui ne veulent pas entendre parler d’Internet. Ils préfèrent les « bonnes vieilles méthodes » qui continuent de faire leurs preuves, car selon eux, chaque jour de nouvelles victimes naissent.

Gardez à l’esprit que ces personnes n’ont aucun scrupule. Par exemple, elles vous expliquent que voler ce n’est pas grave: ce n’est que de l’argent…

Aussi, faites attention à ce que vous jetez à la poubelle.

Il faut déchiqueter (ou brûler) tous les documents où figurent vos renseignements personnels: documents administratifs obsolètes, vieux relevés, offres commerciales de votre banque ou assureur, etc.

Pour déchiqueter correctement, vous devez acheter un destructeur de documents: couper en 4 (ou en 8) un papier est inutile. Le premier prix d’un destructeur de documents commence à partir de 25 euros (par exemple sur le site d’Amazon). Ce n’est pas cher payé pour garder sa tranquillité.

Si vous en avez les moyens, des appareils plus performants (nombre de feuilles, capacité du bac receveur, autres possibilités) se trouvent aux alentours de 60 € (et plus) environ.

Ne remplissez jamais un formulaire sans en connaître son utilisation

Lorsqu’une personne vous demande des informations personnelles, ne remplissez pas le formulaire ou ne répondez pas sans poser ces questions :

  • « Quelle utilisation sera faite des données ? »,
  • « Qui aura le droit de les consulter ? »,
  • « Comment ces données personnelles seront protégées ? ».

Passez outre la réaction de votre interlocuteur et demandez des réponses précises: votre tranquillité en dépend.

Dans la mesure du possible, ne fournissez que les informations obligatoires. Si vous remplissez un formulaire sur Internet et que vous souhaitez connaître les renseignements obligatoires, appuyez sur la touche entrée sans rien saisir. Généralement, les erreurs sont signalées ainsi que les champs obligatoires du formulaire: laissez les autres champs vides.

Ne fournissez jamais de renseignements personnels dans un email

Si un organisme quelconque vous demande de fournir des renseignements personnels, voire confidentiels comme un mot de passe, dans un email, téléphonez lui pour lui demander ce qui se passe mais ne répondez jamais à l’email en donnant les informations demandées.

Prenez la peine de chercher le numéro de téléphone par vous-même: n’utilisez pas le numéro de téléphone indiqué éventuellement dans l’email.

Certains escrocs n’hésitent pas à créer une fausse ligne téléphonique dédiée aux réclamations clients. Le numéro figure en bonne place dans l’email. La ligne a été ouverte sous un faux nom et elle a été payée avec une carte bancaire volée.

Ne communiquez vos identifiants qu’avec discernement

Tous les états modernes attribuent à leurs citoyens un numéro d’identification nationale. Tous vos identifiants (nationaux, permis de conduire, numéros de comptes, etc.) ne doivent jamais être divulgués dans un email, ni même par téléphone si vous êtes appelé.

De nombreuses escroqueries se font toujours par téléphone. Un prétexte, parfois farfelu, permet de soustraire des informations personnelles de la victime.

Ne communiquez pas d’informations personnelles en HTTP

Lorsque vous vous connectez sur ce site web, votre communication utilise le protocole HTTP. Celui-ci n’est pas sécurisé. Cela signifie que les pages qui arrivent sur votre ordinateur ne sont pas cryptées. Si un cybercriminel écoutait le réseau par lequel transitent les pages, il pourrait donc en connaître le contenu. Pour ce site web, cela n’a évidemment pas d’importance.

Les informations que vous envoyez au serveur web qui héberge le site ne sont pas cryptées, non plus. Sur ce site ce n’est pas gênant, car il ne s’agit que du lien de la page que vous voulez consulter.

En revanche, sur un site bancaire, vous n’avez pas envie que l’état de vos comptes soit connu. Surtout, vous ne voulez pas que quelqu’un d’autre que vous connaisse votre identifiant et votre mot de passe pour se connecter sur le site bancaire.

C’est la raison pour laquelle, la banque utilise le protocole HTTPS. Le S à la fin signifie qu’il est plus sécurisé que le protocole HTTP car les données échangées entre le serveur web qui héberge le site de la banque et votre ordinateur les données sont chiffrées.

Il serait illusoire de croire que le chiffrage suffise à lui-seul. Dans un premier temps, nous dirons qu’il est préférable d’échanger en HTTPS qu’en HTTP qui lui n’assure aucune protection. Toutefois, sachez que certains cybercriminels savent récupérer les données même quand elles sont cryptées avec HTTPS.