TOP 6 des erreurs en cybersécurité que vous ne devez plus faire
Dans l’article d’aujourd’hui, nous allons voir 6 erreurs en cybersécurité qui sont souvent faites par les internautes.
1. HTTPS, sécurisé ou pas ?
HTTPS c’est le protocole HTTP couplé avec une couche de chiffrement comme TLS.
De façon plus imagée, il s’agit de chiffrer les informations transmises sur le réseau.
Avec HTTP vous voyez passer « en clair » les données :
Avec HTTPs vous voyez passer les données chiffrées (et vous ne pouvez rien faire avec sans posséder la clé de déchiffrement) :
Seulement, et c’est là qu’est la confusion : La sécurité doit être assurée sur plusieurs niveaux !
Ici on sécurise le niveau réseau mais on ne parle pas du niveau « humain » ni du niveau « système ».
Concernant le niveau humain, il s’agit notamment du fameux Phishing. Et il est dangereux de dire :
« Si tu vois le petit cadenas c’est que c’est bon tu peux acheter !«
Car la page de Phishing peut très bien être en HTTPS elle aussi ! N’importe qui peut acheter des certificats SSL voire en obtenir gratuitement.
Voici un site (qui n’existe pas mais qui pourrait exister) où l’on distingue bien le petit cadenas et le httpS :
Voici maintenant le site officiel de Paypal :
Il y a plusieurs types de certificats, c’est pour cela qu’on aperçoit sur la gauche en vert « PayPal, Inc. (US) ». Mais tous les sites en https n’ont pas ce type de certificat, ce qui rendrait les deux exemples identiques hormis le nom de domaine.
Le nom de domaine (en noir sur les images ci-dessus) est bien l’élément qu’il faut regarder ici en plus du « petit cadenas » : poypol n’est pas paypal. paypol non plus, ni même poypal. Vous me suivez ? 😉
Le deuxième niveau dont on parlait était le niveau « système ».
Imaginons l’exemple suivant : Nous sommes bien en HTTPS (et sur le site officiel !) mais une personne observe notre mot de passe tapé sur le clavier par dessus nos épaules.
HTTPS ou non, le mot de passe est récupéré.
Les keyloggers fonctionnent de la même manière, ils récupèrent ce que vous tapez sur votre clavier peu importe si vous êtes en HTTPS ou non, peu importe le site, peu importe les programmes ouverts. Vos informations passent du clavier au système (sur lequel le keylogger s’exécute), puis du système au site web, puis du site web au réseau (via HTTPS mais c’est déjà trop tard, le pirate est parti avec votre mot de passe).
2. Encodage ou Chiffrement ?
Il ne faut pas confondre encodage et chiffrement lorsque l’on veut partager des informations de manière sécurisée.
But de l’encodage :
Transmettre des informations dans un format compréhensible par tous (standardisé). Il s’agit par exemple de la fameuse table ASCII dont la lettre « A » vaut 65 en décimal.
Base 64 est un codage populaire qui est notamment utilisé pour transformer des informations binaires en caractères. En effet, si l’on transfert des « 0 » et des « 1 », il y a plusieurs façons de les interpréter du coup on a créer un codage facile à transférer (notamment via les URLs) et à décoder.
Vous avez sûrement déjà vu des URLs qui contiennent des caractères comme cela :
aHR0cDovL3d3dy5sZWJsb2dkdWhhY2tlci5mci8=
Bien que cela semble totalement incompréhensible, il suffit de le décoder pour trouver le texte initial.
But du chiffrement :
Faire transiter des données que seuls un émetteur et un destinataire peuvent voir.
Cette fois, si je vous donne le texte suivant (qui ressemble pourtant à celui en base 64) :
OrhDWPZlVC3D35cBLjgBVDgz1HwyJTwzY5IzYb
Pouvez-vous le déchiffrer ? Pouvez-vous le déchiffrer en sachant qu’il est chiffré via l’algorithme de chiffrement RC4 ?
Dans les deux cas la réponse est non (même avec bruteforce ce sera difficile si la clé de chiffrement est assez grande).
Ce n’est qu’une fois que vous connaissez la clé de chiffrement (ici : « clé ») que vous pouvez le déchiffrer.
Si l’on souhaite encore monter d’un niveau, on peut passer par les hashs. Il s’agit d’une empreinte d’un texte, fichier, vidéo, programme…etc qu’il n’est pas possible de retrouver un inversant le processus de chiffrement.
Typiquement, il n’existe aucun algorithme pour recalculer le texte initial du hash suivant :
a3fc36b1afe9bad4dc83547e72d763d7
Et à vrai dire même moi je ne me souviens plus ! Si quelqu’un y arrive, je suis preneur !
Le seul moyen de trouver le texte initial est de recalculer le hash d’un texte clair et le comparer à celui-ci. Si c’est le même, on a retrouvé le texte initial. C’est exactement ce qu’il se passe avec vos mots de passe Facebook, Google…etc : Une empreinte est stockée et même si les administrateurs regardaient dans la base de données, ils ne verraient pas votre mot de passe et ne sauraient le retrouver.
Plus d’informations :
https://www.leblogduhacker.fr/comment-fonctionne-le-chiffrement/
3. Changer son mot de passe en cas de piratage ou de doute
Ce conseil semble très adapté mais il lui manque une grosse partie.
Prenons le cas typique, celui que les visiteurs du site rencontrent souvent, à savoir : Le compte piraté ou la tentative de piratage qu’ils viennent de subir.
Le fait de changer son mot de passe est une bonne idée qu’à partir du moment où l’on est sûr qu’il ne soit pas aussitôt récupéré !
Pour reparler des keyloggers, si vous en avez un sur votre ordinateur, vous pourrez changer votre mot de passe 45610 fois, il sera aussitôt récupéré par le pirate.
Le conseil doit donc être complété :
Il faut changer son mot de passe en cas de piratage ou de doute en étant sûr d’avoir un ordinateur sain lors du changement.
Exemple : Changer le mot de passe depuis un autre ordinateur/smartphone que celui qui a subi le piratage ou la tentative de piratage.
Le même problème se pose avec les cookies. Si l’on supprime les cookies dans le but « d’effacer ses traces », on devra entrer à nouveau les mots de passe enregistrés précédemment dans le navigateur.
C’est le paradis pour les keyloggers car ils n’arrivent pas à récupérer les mots de passe déjà pré-enregistrés dans les navigateurs. Certains d’entre-eux effacent justement exprès les cookies pour forcer la récupération des mots de passe.
Je ne suis pas en train de dire qu’il faut retenir tous les mots de passe, chaque principe à ses avantages et ses inconvénients.
4. Supprimer un fichier de la Corbeille
On parle ici plutôt d’anonymat avec le fait de vouloir faire disparaître tel ou tel fichier.
Lorsque vous supprimez un fichier de la Corbeille, donc lorsque Windows vous dit que le fichier sera supprimé « de façon permanente », il est en fait encore présent sur votre disque dur. Son espace mémoire a simplement été libéré, autrement dit d’autres fichiers pourront être écrits par dessus dans le futur afin de le supprimer vraiment par écrasement.
Si vous venez donc de supprimer un fichier de la Corbeille vous pouvez tenter de le retrouver en analysant la mémoire à la recherche de fichier encore non écrasés.
C’est le boulot de Recuva, j’ai fait un guide pour vous montrer comment le télécharger et l’utiliser.
Si vous souhaitez à présent supprimer un fichier pour de bon, vous pouvez utiliser des programmes spécialisés et il en existe beaucoup.
Avast lui même propose cela (dans la version payante je crois). Eraser est un programme gratuit faisant le même travail.
Vous pouvez le télécharger ici :
http://www.commentcamarche.net/download/telecharger-34055225-eraser
5. « Personne ne le trouvera »
La sécurité par l’obscurité est un concept selon lequel ce qui est caché, et donc difficile à trouver, est sécurisé.
Cela est souvent faux, car une personne déterminée trouve habituellement ce qu’elle cherche.
L’exemple le plus parlant et celui concernant un fichier placé sur un site web : Aucun lien ne pointe vers lui, il n’a jamais été publié où que ce soit et personne n’a été mis au courant.
Pourtant tout le monde peut le trouver !
Et la raison est la suivante : Google l’a trouvé.
En fait, lorsqu’on parlait d’encodage au début de l’article, c’est la même chose ici, ce n’est pas parce que ça semble illisible ou impossible à trouver/faire, que ça l’est.
Google est d’ailleurs un outil de recherche qui peut être utilisé de façon très technique et professionnelle pour trouver toutes sortes de documents très précisément.
Cela s’appelle le Google Hacking.
Autre exemple entièrement lié : Comment pister un Hacker
6. Le cas de l’antivirus
J’en ai déjà beaucoup parlé et je ne souhaite pas me répéter mais l’un des points les moins compris en sécurité informatique concerne les antivirus.
Il y a deux problèmes de compréhension en un :
Ceux qui font confiance à l’antivirus
Il s’agit des personnes qui misent tous sur leur antivirus, et à vrai dire elles ont raison de le faire car en théorie il n’y a pas d’inquiétude à avoir suite à un message comme celui-ci :
Alors oui, l’antivirus vous protège et il le fait très bien. Seulement il a des failles qui ne seront que compensées par des connaissances et de la méfiance.
Je précise que tous les antivirus sont concernés à ce niveau.
Voici plus d’informations :
https://www.leblogduhacker.fr/crypter-un-fichier-pour-contourner-les-anti-virus/
https://www.leblogduhacker.fr/mais-alors-pourquoi-sommes-nous-toujours-pirates/
Ceux qui ne font confiance qu’à eux-même
Il s’agit des personnes qui, confiantes, estiment ne pas avoir besoin d’antivirus car « elles savent ce qu’elles font ».
C’est plutôt bon signe en effet, mais malheureusement il y a toujours des situations qui nous échappent. Typiquement lorsqu’un site qu’on connaît se fait pirater ou lorsqu’un programme pourtant sain en cache un autre. Ce même programme caché que votre antivirus aurait détecté, lui.
Plus d’informations :
https://www.leblogduhacker.fr/un-antivirus-ca-sert-a-rien/
Sachant également que l’être humain est l’une des plus grosses failles, je ne prendrai pas le risque de désactiver un antivirus.
Attention, car en parlant de faille humaine, il faut également veiller à ne pas tomber dans la situation inverse. À savoir : Croire qu’on est piraté alors que ce n’est qu’un piège essayant de nous faire télécharger des programmes suspects.
Plus d’informations :
- https://www.leblogduhacker.fr/attention-votre-ordinateur-est-infecte/
- Les étapes à suivre pour commencer avec le Hacking
