Le Guide de la Sécurité en Vacances
Les vacances approchent (ou sont là ??), c’est l’occasion de prendre l’air et d’emmener nos périphériques avec nous pour profiter du beau temps tout en surfant sur le net.
Mais les cybercriminels ne prennent pas de vacances. Au contraire ils profitent pleinement du relâchement associé à l’été pour mener à bien leurs attaques.
Pas d’inquiétude, voici un mini guide de la sécurité en vacances !
Ouais je sais, on dirait qu’elle lévite sur la plage mais bon… j’ai essayé un montage photo sous Paint…
Table des matières
On commence par ne pas dire qu’on part…
Ou en tout cas le moins possible. Car il se trouve que des cambrioleurs peuvent lire ce que vous publiez sur Internet. Et voir toute votre famille se la « couler douce » sur la plage… peut signifier que pendant ce temps personne n’est à la maison.
Alternativement, des alarmes, des caméras de surveillance, ou des voisin(e)s qui ont du temps peuvent prendre soin de votre logement.
Attention aux réseaux Wi-Fi publics
En été, on se déplace forcément plus qu’en hiver, et on utilise smartphones, ordinateurs portables et tablettes à l’extérieur. De quoi être facilement tentés de se connecter aux premiers réseaux Wi-Fi rencontrés.
Mais avant de se connecter à un réseau donné, voici quelques bonnes pratiques à avoir en tête.
« N’effectuez pas de transactions bancaires en utilisant un réseau Wi-Fi public »
C’est un conseil qu’on entend souvent mais on se doit de connaître un peu mieux le pourquoi du comment afin d’éviter de se faire pirater.
Disons qu’un réseau Wi-Fi ouvert est par nature utilisable par un pirate pour espionner les pages que vous visitez sur Internet.
Les points d’accès Wi-Fi que l’on rencontre dans les aéroports, gares ou même restaurants sont potentiellement ouverts donc non chiffrés (si vous n’avez pas besoin d’entrer un mot de passe pour vous connecter, la connexion est ouverte).
Le but du chiffrement réseau est justement d’éviter que vos voisins, bien qu’ils soient dans le champ d’accès à votre réseau, ne puissent observer les pages que vous visitez.
C’est là que la technologie HTTPS entre en jeu. Un potentiel espion sur un réseau Wi-Fi ouvert peut y lire toutes les données transitant en clair (http) y compris les mots de passe.
Mais il ne verra que les sites HTTPS visités sans pour autant pouvoir lire les données envoyées, qui seront quant à elles chiffrées.
Ces problèmes d’exposition des données ont été expliqués par divers exemples dont :
- Firesheep, un outil qui permettait de récupérer des sessions à la volée (connexion instantanée sur le compte d’une personne d’un utilisateur du réseau).
- Wireshark, outil d’analyse réseau permettant d’observer les données envoyées en clair sur le réseau.
Comment se protéger des menaces dues aux réseaux Wi-Fi ouverts
Pour commencer il est intéressant de s’assurer que les sites visités utilisent bien le protocole HTTPs.
Il existe pour cela une extension de navigateur appelée https everywhere, qui veille à ce que le protocole HTTPS soit utilisé parmi les sites que vous visitez.
Utiliser un VPN est également très recommandé car votre connexion sera chiffrée et encapsulée dans un tunnel à travers Internet dont vous seuls avez accès. En guise de Bonus, tout blocage de sites web ou filtrage au niveau du Wi-Fi public sera annulé avec le VPN.
Le point d’accès Wi-Fi lui même peut être malveillant et espionner les utilisateurs connectés
Peut-on donc effectuer des transactions bancaires via un réseau Wi-Fi ouvert ?
La réponse est Oui en théorie car HTTPS chiffre les données transmises.
Mais si HTTPS en lui même faiblit, toute la sécurité est compromise. Et HTTPS peut tomber assez facilement. Il existe par exemple des outils de « stripping SSL » (du côté du point d’accès) permettant d’observer dynamiquement les sites HTTPS et de rediriger de façon transparente les liens de HTTPS vers HTTP sur les pages visitées. Le trafic est donc récupéré en clair et renvoyé sur le site de destination avec HTTPS comme si de rien n’était (attaque de l’homme du milieu).
Et c’est sans parler des vulnérabilités OpenSSL comme Heartbleed.
Il existe également des périphériques spécialisés qui font croire à l’ordinateur qu’il se reconnecte à un réseau connu alors que là encore une attaque de l’homme du milieu prend place : Les données sont collectées par le périphérique et renvoyées vers leurs destination.
Comment se protéger contre les points d’accès malveillants
Il faut commencer par utiliser un pare-feu comme Windows Defender, le pare-feu Windows de base, est déjà un bon point de départ.
Et choisir un VPN est un excellent investissement pour se protéger, comme on l’a vu précédemment.
Il est également utile de sélectionner « Réseau public » lors de la connexion au réseau. Il s’agit de la fameuse fenêtre qui nous demande si l’on se connecte depuis la maison ou depuis un lieu public :
Définir la connexion comme publique désactive automatiquement le partage de fichiers, la découverte réseau et le partage des dossiers publics.
Enfin, l’idéal est de ne tout simplement pas effectuer de transactions bancaires via un réseau ouvert.
Sécurité en vacances : attention à la géolocalisation !
Dire qu’on part en vacances ouvertement sur les réseaux sociaux n’est jamais une bonne idée.
L’idéal est plutôt de raconter vos vacances en rentrant.
Les photos que vous prenez avec vos appareils contiennent également des métadonnées EXIF (Exchangeable Image File Format).
Ce sont des données incluses dans vos photos qui peuvent être très intéressantes pour un pirate étant donné que la marque de votre appareil ainsi que la localisation précise de l’endroit ou la photo a été prise peuvent être incluses.
Exemple :
Ajouter un mot de passe ou un verrouillage
En vacances, on embarque souvent notre ordinateur portable, smartphone ou tablette avec nous sur la plage, dans un champ ou même dans les transports en commun.
Mettre un mot de passe et penser à verrouiller sa session en s’absentant est donc une évidence à mentionner. Si ce n’est d’emmener directement le périphérique avec soi.
On conseille également de désactiver les connexions Wi-Fi, Bluetooth et NFC (Near Field Communication) sur les appareils dotés de ces technologies, lorsqu’elles ne sont pas utilisées.
Attention aux vols
Vous arrivez stressé(e) à l’aéroport car l’avion part dans 10 minutes et vous êtes à peine en train de passer à la sécurité, vous vous dépêchez donc et vous vous préparez à courir alors que sous le stress vous ne faites pas attention et votre pc portable se retrouve subtilisé.
Pour éviter les vols en vacances il y a 2 principes à toujours avoir en tête :
- Vérifier régulièrement que tous nos bagages sont présents.
- Ne pas afficher à la vue de tous les objets de valeurs dont les smartphones et ordinateurs portables.
Afin de prévoir le pire il est également recommandé d’installer des applications de surveillance sur vos ordinateurs et smartphones de façon à pouvoir retracer un ordinateur perdu ou volé.
Voici une liste d’applications de surveillance et de contrôle parental : http://telecharger.tomsguide.fr/Logiciels-Controle-Parental-Surveillance,0702-7086.html
D’autres astuces pour localiser et verrouiller vos smartphones sont disponibles ici :
- https://www.leblogduhacker.fr/securiser-son-smartphone-android/
- https://www.leblogduhacker.fr/securiser-son-iphone/
Attention aux ordinateurs publics
On a vu que se connecter à un réseau Wi-Fi public peut poser des problèmes, il faut également mentionner les ordinateurs publics que nous sommes plus amenés à utiliser en vacances.
On notera par exemple les cyber cafés mais aussi les bibliothèques et autres lieux d’accès libres à des ordinateurs.
Un programme espion (keylogger) peut typiquement y être installé par un autre utilisateur ou par le propriétaire lui même.
S’assurer que l’ordinateur qu’on utilise (qui peut très bien être le nôtre) n’est pas infecté par un programme malveillant n’est pas une tâche forcément facile.
Voici des pistes : Comment protéger son pc
Sensibiliser les enfants
En vacances à la maison ou ailleurs, les enfants utilisent probablement plus que d’habitude les périphériques connectés à Internet.
Afin d’éviter que toutes vos données bancaires se retrouvent dans la nature car votre enfant (ou n’importe quel membre de la famille) les a malencontreusement partagées (la faille humaine encore une fois), il faut le sensibiliser sur les risques d’Internet et les précautions de sécurité à toujours avoir en tête.
Ces précautions étant les mêmes que celles que nous appliquons nous même (liste non exhaustive):
- Ne pas cliquer sur des liens ou programmes suspects.
- Ne pas faire confiance aveugle à l’antivirus.
- Séparer les sessions sur les ordinateurs.
- Ne pas communiquer son mot de passe.
- Toujours rester vigilant et se tenir informé(e) sur les menaces et les moyens de sécurité.
Sauvegarder tout
Dans le cas où le pire est arrivé, sauvegarder toutes ses données avant de partir permet d’échapper à bien des galères.
Voici un guide de sauvegarde des données, vous pouvez bien entendu utiliser les moyens habituels (clés USB, disque dur externe, Cloud…etc).
Pour conclure, tous ces conseils semblent bien être liés au bon sens et aux bonnes pratiques, et à vrai dire ce sont d’excellents moyens de défense en sécurité informatique !
Bonne vacances à tous !
10 Commentaires
Cliquez ici pour ajouter un commentaire
Merci de l’article Michel !
Avec plaisir Schwarzer !
Bonjour et merci Michel pouur cet article qui m’a tellement intéressé que j’ai lu pratiquement tout le site de HideMyAss (HMA) hier; sans toutefois, que je trouve réponse à ma question née à la lecture de ton article : en villégiature, je vais me connecter au wifi de l’hôtel, comme le font la majorité des vacanciers.
Comment, en effet, sécuriser toutes les données sortantes de mon smartphone p.ex. pour que personne ne puissent y accéder si, imaginons, le wifi de l’hôtel est hacké ou écouté.
Est-ce qu’un logiciel comme HMA (ou autre) permet de crypter tout au départ de mon appareil ? Je suis bien évidemment disposer à prendre une solution payante de HMA.
Je te remercie.
Salut Christophe et merci pour ton commentaire ! Oui le VPN permet de sécuriser des points d’accès non chiffrés, et de cacher tout la trafic qui transite et qu’une autre personne pourrait « écouter » avec son pc portable par exemple. Avec http on peut tout voir, mots de passe y compris, avec https on voit les sites visités, avec un VPN on ne voit rien.
Et enfin le VPN permet d’éviter une éventuelle censure du point d’accès 🙂
Merci pour ta promptitude.
Excuse-moi si je suis lourd, je voudrais bien comprendre : si je prends un abonnement Pro chez HMA et si j’installe quelque chose sur mon PC / mon smartphone Android et/ou si je configure ma connexion réseau; toujours au départ de mon appareil, dès cet instant, toutes les communications qui sortent de mon appareil sont cryptés avant même d’atteindre le réseau.
Avec HMA donc, c’est comme si je surfais en HTTPs, comme si je faisais du FTPs, IMAPs, … (tu m’auras compris 😉 ).
L’hôtel ou un autre vacancier ne saura pas sniffer mon trafic.
C’est important car je suis amené à travailler sur des sites webs (mes clients par exemple) sites en http et il m’arrive de recevoir les credentials par email (non cryptés). Il faut donc que je puisse garantir une certaine confidentialité de ces informations.
Si tu me réponds oui à la question « Est-ce crypté au départ de mon appareil », excellente nouvelle qui en amènera une seconde : est-ce crypté aussi pour HMA ? Est-ce que eux n’auront pas une trace du traffic, non crypté ?
Je te remercie pour tes réponses et ton blog.
Oui la connexion est chiffrée au départ de l’appareil jusqu’au « point de sortie » du VPN. Ce qui est le cas de HMA. Utiliser un VPN avec FTP ou IMAP revient au même qu’utiliser FTPS ou IMAPs mais il me semble que des petites différences subsistent. Il est également recommandé d’utiliser FTPS, HTTPs etc pour s’assurer que la connexion soit aussi chiffrée du point de sortie du VPN à la destination finale.
Merci Michel.
Extrêmement sympa de partager tes connaissances de la sorte et si promptement.
Je vais encore prendre un tout petit peu le temps de la réflexion (je vois que Avast p.ex. propose aussi un outil plus ou moins similaire (Avast SecureLine)).
Le truc qui m’embête encore un peu, c’est, si j’ai bien compris le mode d’emploi :
1. tout est chiffré au départ de mon appareil, le wifi/hotspot/voisin de réseau ne peut pas sniffer mon trafic.
2. un transfert crypté est établi avec un des serveurs de HMA et là, il y aurait un décryptage afin que la communication redevienne ce qu’elle était avant le cryptage pour que je puisse communiquer avec mon site, mon webmail, …
Les serveurs de HMA sont donc un point faible du système (je parle de HMA mais cela serait vrai aussi pour toute solution VPN).
Si je consulte mon webmail (qui serait en http pour cet exemple), le serveur de HMA « verrait » la page en clair avant de la crypter de me l’envoyer. HMA aurait donc accès au contenu de mon mail.
Bonne journée.
C’est ça, d’où la conclusion suivante : Il faut faire confiance au prestataire VPN et utiliser Https, ftps etc…des que possible. Dans tous les cas la sécurité et l’anonymat sont tout de même grandement améliorés avec un VPN.
@Michel, pour info, j’ai donc contacté HMA; voici une partie de ma question et voici leur réponse :
Question:
>Donc :
>1. Tout est crypté entre mon appareil et vous. Mon hôtelier ne
>peut pas, s’il est curieux, voir mon contenu de même qu’un autre
>vacancier. Est-ce bien ainsi que HMA fonctionne ?
Réponse : Oui.
>2. Au niveau de vos serveurs, vous décrypté mon traffic => vous
>pourriez voir mon contenu et dans le cas d’une connexion FTP de
>ma part, il est donc théoriquement possible que vous puissiez
>sniffer mon login / password. Idem pour une page web que j’aurais
>consulté (type webmail) où des données importantes seraient
>présentes. Si c’est bien correct, quelle protection avez-vous à ce
>niveau ? Vos serveurs seraient donc fortement intéressant pour
>des curieux en tout genre.
Réponse : Nous ne pouvons pas voir votre contenu non plus, ni les sites web que vous visitez. Nous pouvons voir votre identifiant de connexion (mais non pas votre mot de passe) et savoir si votre compte est actif ou non, ainsi que les détails de votre paiement.
Tout ce qui’il faut faire de votre part est installer notre logiciel (application) et choisir l’un de nos 800+ serveurs.
Voilà, peut-être que cela pourra intéresser l’un ou l’autre lecteur de ton billet.
Bon week-end.
Merci beaucoup pour d’avoir partagé l’info !! J’espère que ça pourra effectivement servir à d’autres personnes qui se posent la question