Les vacances approchent, c’est l’occasion de prendre l’air et d’emmener nos périphériques avec nous pour profiter du beau temps tout en surfant sur le net.

Mais les cybercriminels ne partent pas en voyage, au contraire ils profitent pleinement du relâchement associé à l’été pour mener à bien leurs attaques.

Pas d’inquiétude, voici un mini guide de la sécurité en vacances !

guide-securite-vacances

 

Attention aux réseaux Wi-Fi publics

En été, on se déplace forcément plus qu’en hiver, et on utilise smartphones, ordinateurs portables et tablettes à l’extérieur. De quoi être facilement tentés de se connecter aux premiers réseaux Wi-Fi rencontrés.

Mais avant de se connecter à un réseau donné, voici quelques bonnes pratiques à avoir en tête.

« N’effectuez pas de transactions bancaires en utilisant un réseau Wi-Fi public »

C’est un conseil qu’on entend souvent mais on se doit de connaître un peu mieux le pourquoi du comment afin d’éviter de se faire pirater.

securite-wifi-public

Disons qu’un réseau Wi-Fi ouvert est par nature utilisable par un pirate pour espionner les pages que vous visitez sur Internet.

Les points d’accès Wi-Fi que l’on rencontre dans les aéroports, gares ou même restaurants sont potentiellement ouverts donc non chiffrés (si vous n’avez pas besoin d’entrer un mot de passe pour vous connecter, la connexion est ouverte).

Le but du chiffrement réseau est justement d’éviter que vos voisins, bien qu’ils soient dans le champ d’accès à votre réseau, ne puissent observer les pages que vous visitez.

C’est là que la technologie HTTPS entre en jeu. Un potentiel espion sur un réseau Wi-Fi ouvert peut y lire toutes les données transitant en clair (http) y compris les mots de passe.

Mais il ne verra que les sites HTTPS visités sans pour autant pouvoir lire les données envoyées, qui seront quant à elles chiffrées.

Ces problèmes d’exposition des données ont été expliqués par divers exemples dont :

  • Firesheep, un outil qui permettait de récupérer des sessions à la volée (connexion instantanée sur le compte d’une personne d’un utilisateur du réseau).
  • Wireshark, outil d’analyse réseau permettant d’observer les données envoyées en clair sur le réseau.

Comment se protéger des menaces dues aux réseaux Wi-Fi ouverts

Pour commencer il est intéressant de s’assurer que les sites visités utilisent bien le protocole HTTPs.

Il existe pour cela une extension de navigateur appelée https everywhere, qui veille à ce que le protocole HTTPS soit utilisé parmi les sites que vous visitez.

Utiliser un VPN est également très recommandé car votre connexion sera chiffrée et encapsulée dans un tunnel à travers Internet dont vous seuls avez accès. En guise de Bonus, tout blocage de sites web ou filtrage au niveau du Wi-Fi public sera annulé avec le VPN.

Le point d’accès Wi-Fi lui même peut être malveillant et espionner les utilisateurs connectés

Peut-on donc effectuer des transactions bancaires via un réseau Wi-Fi ouvert ?

La réponse est Oui en théorie car HTTPS chiffre les données transmises.

Mais si HTTPS en lui même faiblit, toute la sécurité est compromise. Et HTTPS peut tomber assez facilement. Il existe par exemple des outils de « stripping SSL » (du côté du point d’accès) permettant d’observer dynamiquement les sites HTTPS et de rediriger de façon transparente les liens de HTTPS vers HTTP sur les pages visitées. Le trafic est donc récupéré en clair et renvoyé sur le site de destination avec HTTPS comme si de rien n’était (attaque de l’homme du milieu).

Et c’est sans parler des vulnérabilités OpenSSL comme Heartbleed.pineapple

Il existe également des périphériques spécialisés qui font croire à l’ordinateur qu’il se reconnecte à un réseau connu alors que là encore une attaque de l’homme du milieu prend place : Les données sont collectées par le périphérique et renvoyées vers leurs destination.

Comment se protéger contre les points d’accès malveillants

Il faut commencer par utiliser un pare-feu comme Windows Defender, le pare-feu Windows de base, est déjà un bon point de départ.

Et choisir un VPN est un excellent investissement pour se protéger, comme on l’a vu précédemment.

Il est également utile de sélectionner « Réseau public » lors de la connexion au réseau. Il s’agit de la fameuse fenêtre qui nous demande si l’on se connecte depuis la maison ou depuis un lieu public :

reseaupriveDéfinir la connexion comme publique désactive automatiquement le partage de fichiers, la découverte réseau et le partage des dossiers publics.

Enfin, l’idéal est de ne tout simplement pas effectuer de transactions bancaires via un réseau ouvert.

 

Sécurité en vacances : attention à la localisation !

Dire qu’on part en vacances ouvertement sur les réseaux sociaux n’est jamais une bonne idée.

L’idéal est plutôt de raconter vos vacances en rentrant.

Les photos que vous prenez avec vos appareils contiennent également des métadonnées EXIF (Exchangeable Image File Format).

Ce sont des données incluses dans vos photos qui peuvent être très intéressantes pour un pirate étant donné que la marque de votre appareil ainsi que la localisation précise de l’endroit ou la photo a été prise peuvent être incluses.

Exemple :

 

Ajouter un mot de passe ou un verrouillage

En vacances, on embarque souvent notre ordinateur portable, smartphone ou tablette avec nous sur la plage, dans un champ ou même dans les transports en commun.

sécurité en vacances

Mettre un mot de passe et penser à verrouiller sa session en s’absentant est donc une évidence à mentionner. Si ce n’est d’emmener directement le périphérique avec soi.

On conseille également de désactiver les connexions Wi-Fi, Bluetooth et NFC (Near Field Communication) sur les appareils dotés de ces technologies, lorsqu’elles ne sont pas utilisées.

 

Attention aux vols

Vous arrivez stressé(e) à l’aéroport car l’avion part dans 10 minutes et vous êtes à peine en train de passer à la sécurité, vous vous dépêchez donc et vous vous préparez à courir alors que sous le stress vous ne faites pas attention et votre pc portable se retrouve subtilisé.voleur

Pour éviter les vols en vacances il y a 2 principes à toujours avoir en tête :

  • Vérifier régulièrement que tous nos bagages sont présents.
  • Ne pas afficher à la vue de tous les objets de valeurs dont les smartphones et ordinateurs portables.

Afin de prévoir le pire il est également recommandé d’installer des applications de surveillance sur vos ordinateurs et smartphones de façon à pouvoir retracer un ordinateur perdu ou volé.

Voici une liste d’applications de surveillance et de contrôle parental : http://telecharger.tomsguide.fr/Logiciels-Controle-Parental-Surveillance,0702-7086.html

D’autres astuces pour localiser et verrouiller vos smartphones sont disponibles ici :

 

Attention aux ordinateurs publics

On a vu que se connecter à un réseau Wi-Fi public peut poser des problèmes, il faut également mentionner les ordinateurs publics que nous sommes plus amenés à utiliser en vacances.

On notera par exemple les cyber cafés mais aussi les bibliothèques et autres lieux d’accès libres à des ordinateurs.

Un programme espion (keylogger) peut typiquement y être installé par un autre utilisateur ou par le propriétaire lui même.

S’assurer que l’ordinateur qu’on utilise (qui peut très bien être le nôtre) n’est pas infecté par un programme malveillant n’est pas une tâche forcément facile. C’est pour cela que j’ai tout expliqué et placé dans un guide dédié.

Protéger son Ordinateur et sa vie Privée

Vous ne pouvez pas être correctement protégé(e) sur Internet en comptant sur votre antivirus. Devenez Votre propre antivirus – Guide 100% accessible aux débutants !

 

Sensibiliser les enfants

En vacances à la maison ou ailleurs, les enfants utilisent probablement plus que d’habitude les périphériques connectés à Internet.

Afin d’éviter que toutes vos données bancaires se retrouvent dans la nature car votre enfant (ou n’importe quel membre de la famille) les a malencontreusement partagées (la faille humaine encore une fois), il faut le sensibiliser sur les risques d’Internet et les précautions de sécurité à toujours avoir en tête.

Ces précautions étant les mêmes que celles que nous appliquons nous même (liste non exhaustive):

  • Ne pas cliquer sur des liens ou programmes suspects.
  • Ne pas faire confiance aveugle à l’antivirus.
  • Séparer les sessions sur les ordinateurs.
  • Ne pas communiquer son mot de passe.
  • Toujours rester vigilent et se tenir informé(e) sur les menaces et les moyens de sécurité.

 

Sauvegarder tout

Dans le cas où le pire est arrivé, sauvegarder toutes ses données avant de partir permet d’échapper à bien des galères.

Voici un guide de sauvegarde des données, vous pouvez bien entendu utiliser les moyens habituels (clés USB, disque dur externe, Cloud…etc).

Pour conclure, tous ces conseils semblent bien être liés au bon sens et aux bonnes pratiques, et à vrai dire ce sont d’excellents moyens de défense en sécurité informatique !

Bonne vacances à tous !

10 Commentaires. En écrire un nouveau

  • Merci de l’article Michel !

    Répondre
  • Bonjour et merci Michel pouur cet article qui m’a tellement intéressé que j’ai lu pratiquement tout le site de HideMyAss (HMA) hier; sans toutefois, que je trouve réponse à ma question née à la lecture de ton article : en villégiature, je vais me connecter au wifi de l’hôtel, comme le font la majorité des vacanciers.

    Comment, en effet, sécuriser toutes les données sortantes de mon smartphone p.ex. pour que personne ne puissent y accéder si, imaginons, le wifi de l’hôtel est hacké ou écouté.

    Est-ce qu’un logiciel comme HMA (ou autre) permet de crypter tout au départ de mon appareil ? Je suis bien évidemment disposer à prendre une solution payante de HMA.

    Je te remercie.

    Répondre
    • Salut Christophe et merci pour ton commentaire ! Oui le VPN permet de sécuriser des points d’accès non chiffrés, et de cacher tout la trafic qui transite et qu’une autre personne pourrait « écouter » avec son pc portable par exemple. Avec http on peut tout voir, mots de passe y compris, avec https on voit les sites visités, avec un VPN on ne voit rien.
      Et enfin le VPN permet d’éviter une éventuelle censure du point d’accès 🙂

      Répondre
      • Merci pour ta promptitude.

        Excuse-moi si je suis lourd, je voudrais bien comprendre : si je prends un abonnement Pro chez HMA et si j’installe quelque chose sur mon PC / mon smartphone Android et/ou si je configure ma connexion réseau; toujours au départ de mon appareil, dès cet instant, toutes les communications qui sortent de mon appareil sont cryptés avant même d’atteindre le réseau.

        Avec HMA donc, c’est comme si je surfais en HTTPs, comme si je faisais du FTPs, IMAPs, … (tu m’auras compris 😉 ).

        L’hôtel ou un autre vacancier ne saura pas sniffer mon trafic.

        C’est important car je suis amené à travailler sur des sites webs (mes clients par exemple) sites en http et il m’arrive de recevoir les credentials par email (non cryptés). Il faut donc que je puisse garantir une certaine confidentialité de ces informations.

        Si tu me réponds oui à la question « Est-ce crypté au départ de mon appareil », excellente nouvelle qui en amènera une seconde : est-ce crypté aussi pour HMA ? Est-ce que eux n’auront pas une trace du traffic, non crypté ?

        Je te remercie pour tes réponses et ton blog.

        Répondre
        • Oui la connexion est chiffrée au départ de l’appareil jusqu’au « point de sortie » du VPN. Ce qui est le cas de HMA. Utiliser un VPN avec FTP ou IMAP revient au même qu’utiliser FTPS ou IMAPs mais il me semble que des petites différences subsistent. Il est également recommandé d’utiliser FTPS, HTTPs etc pour s’assurer que la connexion soit aussi chiffrée du point de sortie du VPN à la destination finale.

          Répondre
          • Merci Michel.

            Extrêmement sympa de partager tes connaissances de la sorte et si promptement.

            Je vais encore prendre un tout petit peu le temps de la réflexion (je vois que Avast p.ex. propose aussi un outil plus ou moins similaire (Avast SecureLine)).

            Le truc qui m’embête encore un peu, c’est, si j’ai bien compris le mode d’emploi :

            1. tout est chiffré au départ de mon appareil, le wifi/hotspot/voisin de réseau ne peut pas sniffer mon trafic.

            2. un transfert crypté est établi avec un des serveurs de HMA et là, il y aurait un décryptage afin que la communication redevienne ce qu’elle était avant le cryptage pour que je puisse communiquer avec mon site, mon webmail, …

            Les serveurs de HMA sont donc un point faible du système (je parle de HMA mais cela serait vrai aussi pour toute solution VPN).

            Si je consulte mon webmail (qui serait en http pour cet exemple), le serveur de HMA « verrait » la page en clair avant de la crypter de me l’envoyer. HMA aurait donc accès au contenu de mon mail.

            Bonne journée.

          • C’est ça, d’où la conclusion suivante : Il faut faire confiance au prestataire VPN et utiliser Https, ftps etc…des que possible. Dans tous les cas la sécurité et l’anonymat sont tout de même grandement améliorés avec un VPN.

  • @Michel, pour info, j’ai donc contacté HMA; voici une partie de ma question et voici leur réponse :

    Question:
    >Donc :
    >1. Tout est crypté entre mon appareil et vous. Mon hôtelier ne
    >peut pas, s’il est curieux, voir mon contenu de même qu’un autre
    >vacancier. Est-ce bien ainsi que HMA fonctionne ?

    Réponse : Oui.

    >2. Au niveau de vos serveurs, vous décrypté mon traffic => vous
    >pourriez voir mon contenu et dans le cas d’une connexion FTP de
    >ma part, il est donc théoriquement possible que vous puissiez
    >sniffer mon login / password. Idem pour une page web que j’aurais
    >consulté (type webmail) où des données importantes seraient
    >présentes. Si c’est bien correct, quelle protection avez-vous à ce
    >niveau ? Vos serveurs seraient donc fortement intéressant pour
    >des curieux en tout genre.

    Réponse : Nous ne pouvons pas voir votre contenu non plus, ni les sites web que vous visitez. Nous pouvons voir votre identifiant de connexion (mais non pas votre mot de passe) et savoir si votre compte est actif ou non, ainsi que les détails de votre paiement.
    Tout ce qui’il faut faire de votre part est installer notre logiciel (application) et choisir l’un de nos 800+ serveurs.

    Voilà, peut-être que cela pourra intéresser l’un ou l’autre lecteur de ton billet.

    Bon week-end.

    Répondre

Laisser un commentaire

Menu
More in Hacking Éthique, Sécurité Informatique
Sécuriser son iPhone

Avant de commencer, rappelons rapidement certains faits : Environ 97% des français utilisent un téléphone mobile, dont : 55% utilisent la géolocalisation de leur smartphone...

Close