Le top 6 des erreurs en sécurité informatique que vous ne devez plus faire

  1. Accueil
  2. Hacking Éthique
  3. Le top 6 des erreurs en sécurité informatique que vous ne devez plus faire

Dans l’article d’aujourd’hui, nous allons voir 6 points qui sont souvent mal compris par les internautes et comment ne plus faire ces erreurs.

1. HTTPS, sécurisé ou pas ?

HTTPS c’est le protocole HTTP couplé avec une couche de chiffrement comme TLS.

De façon plus imagée, il s’agit de chiffrer les informations transmises sur le réseau.

Avec HTTP vous voyez passer « en clair » les données :

http

Avec HTTPs vous voyez passer les données chiffrées (et vous ne pouvez rien faire avec sans posséder la clé de déchiffrement) :

https

Seulement, et c’est là qu’est la confusion : La sécurité doit être assurée sur plusieurs niveaux !

Ici on sécurise le niveau réseau mais on ne parle pas du niveau « humain » ni du niveau « système ».

Concernant le niveau humain, il s’agit notamment du fameux Phishing. Et il est dangereux de dire :

« Si tu vois le petit cadenas c’est que c’est bon tu peux acheter !« 

Car la page de Phishing peut très bien être en HTTPS elle aussi ! N’importe qui peut acheter des certificats SSL voire en obtenir gratuitement.

Voici un site (qui n’existe pas mais qui pourrait exister) où l’on distingue bien le petit cadenas et le httpS :

poypol

Voici maintenant le site officiel de Paypal :

paypal

Il y a plusieurs types de certificats, c’est pour cela qu’on aperçoit sur la gauche en vert « PayPal, Inc. (US) ». Mais tous les sites en https n’ont pas ce type de certificat, ce qui rendrait les deux exemples identiques hormis le nom de domaine.

Le nom de domaine (en noir sur les images ci-dessus) est bien l’élément qu’il faut regarder ici en plus du « petit cadenas » : poypol n’est pas paypal. paypol non plus, ni même poypal. Vous me suivez ? 😉

Le deuxième niveau dont on parlait était le niveau « système ».

Imaginons l’exemple suivant : Nous sommes bien en HTTPS (et sur le site officiel !) mais une personne observe notre mot de passe tapé sur le clavier par dessus nos épaules.

HTTPS ou non, le mot de passe est récupéré.

Les keyloggers fonctionnent de la même manière, ils récupèrent ce que vous tapez sur votre clavier peu importe si vous êtes en HTTPS ou non, peu importe le site, peu importe les programmes ouverts. Vos informations passent du clavier au système (sur lequel le keylogger s’exécute), puis du système au site web, puis du site web au réseau (via HTTPS mais c’est déjà trop tard, le pirate est parti avec votre mot de passe).

2. Encodage ou Chiffrement ?

Il ne faut pas confondre encodage et chiffrement lorsque l’on veut partager des informations de manière sécurisée.

But de l’encodage :

Transmettre des informations dans un format compréhensible par tous (standardisé). Il s’agit par exemple de la fameuse table ASCII dont la lettre « A » vaut 65 en décimal.

Base 64 est un codage populaire qui est notamment utilisé pour transformer des informations binaires en caractères. En effet, si l’on transfert des « 0 » et des « 1 », il y a plusieurs façons de les interpréter du coup on a créer un codage facile à transférer (notamment via les URLs) et à décoder.

Vous avez sûrement déjà vu des URLs qui contiennent des caractères comme cela :

aHR0cDovL3d3dy5sZWJsb2dkdWhhY2tlci5mci8=

Bien que cela semble totalement incompréhensible, il suffit de le décoder pour trouver le texte initial.

But du chiffrement :

Faire transiter des données que seuls un émetteur et un destinataire peuvent voir.

Cette fois, si je vous donne le texte suivant (qui ressemble pourtant à celui en base 64) :

OrhDWPZlVC3D35cBLjgBVDgz1HwyJTwzY5IzYb

Pouvez-vous le déchiffrer ? Pouvez-vous le déchiffrer en sachant qu’il est chiffré via l’algorithme de chiffrement RC4 ?

Dans les deux cas la réponse est non (même avec bruteforce ce sera difficile si la clé de chiffrement est assez grande).

Ce n’est qu’une fois que vous connaissez la clé de chiffrement (ici : « clé ») que vous pouvez le déchiffrer.

Si l’on souhaite encore monter d’un niveau, on peut passer par les hashs. Il s’agit d’une empreinte d’un texte, fichier, vidéo, programme…etc qu’il n’est pas possible de retrouver un inversant le processus de chiffrement.

Typiquement, il n’existe aucun algorithme pour recalculer le texte initial du hash suivant :

a3fc36b1afe9bad4dc83547e72d763d7

Et à vrai dire même moi je ne me souviens plus ! Si quelqu’un y arrive, je suis preneur !

Le seul moyen de trouver le texte initial est de recalculer le hash d’un texte clair et le comparer à celui-ci. Si c’est le même, on a retrouvé le texte initial. C’est exactement ce qu’il se passe avec vos mots de passe Facebook, Google…etc : Une empreinte est stockée et même si les administrateurs regardaient dans la base de données, ils ne verraient pas votre mot de passe et ne sauraient le retrouver.

Plus d’informations :

https://www.leblogduhacker.fr/comment-fonctionne-le-chiffrement/

3. Changer son mot de passe en cas de piratage ou de doute

Ce conseil semble très adapté mais il lui manque une grosse partie.recover password photo

Prenons le cas typique, celui que les visiteurs du site rencontrent souvent, à savoir : Le compte piraté ou la tentative de piratage qu’ils viennent de subir.

Le fait de changer son mot de passe est une bonne idée qu’à partir du moment où l’on est sûr qu’il ne soit pas aussitôt récupéré !

Pour reparler des keyloggers, si vous en avez un sur votre ordinateur, vous pourrez changer votre mot de passe 45610 fois, il sera aussitôt récupéré par le pirate.

Le conseil doit donc être complété :

Il faut changer son mot de passe en cas de piratage ou de doute en étant sûr d’avoir un ordinateur sain lors du changement.

Exemple : Changer le mot de passe depuis un autre ordinateur/smartphone que celui qui a subi le piratage ou la tentative de piratage.

Le même problème se pose avec les cookies. Si l’on supprime les cookies dans le but « d’effacer ses traces », on devra entrer à nouveau les mots de passe enregistrés précédemment dans le navigateur.

C’est le paradis pour les keyloggers car ils n’arrivent pas à récupérer les mots de passe déjà pré-enregistrés dans les navigateurs. Certains d’entre-eux effacent justement exprès les cookies pour forcer la récupération des mots de passe.

Je ne suis pas en train de dire qu’il faut retenir tous les mots de passe, chaque principe à ses avantages et ses inconvénients.

4. Supprimer un fichier de la Corbeille

On parle ici plutôt d’anonymat avec le fait de vouloir faire disparaitre tel ou tel fichier.

Lorsque vous supprimez un fichier de la Corbeille, donc lorsque Windows vous dit que le fichier sera supprimé « de façon permanente », il est en fait encore présent sur votre disque dur. Son espace mémoire a simplement été libéré, autrement dit d’autres fichiers pourront être écrits par dessus dans le futur afin de le supprimer vraiment par écrasement.

Si vous venez donc de supprimer un fichier de la Corbeille vous pouvez tenter de le retrouver en analysant la mémoire à la recherche de fichier encore non écrasés.

C’est le boulot de Recuva, j’ai fait un guide pour vous montrer comment le télécharger et l’utiliser.

Si vous souhaitez à présent supprimer un fichier pour de bon, vous pouvez utiliser des programmes spécialisés et il en existe beaucoup.

Avast lui même propose cela (dans la version payante je crois). Eraser est un programme gratuit faisant le même travail.

Vous pouvez le télécharger ici :

http://www.commentcamarche.net/download/telecharger-34055225-eraser

5. « Personne ne le trouvera »

La sécurité par l’obscurité est un concept selon lequel ce qui est caché, et donc difficile à trouver, est sécurisé.

Cela est souvent faux, car une personne déterminée trouve habituellement ce qu’elle cherche.

L’exemple le plus parlant et celui concernant un fichier placé sur un site web : Aucun lien ne pointe vers lui, il n’a jamais été publié où que ce soit et personne n’a été mis au courant.

Pourtant tout le monde peut le trouver !

Et la raison est la suivante : Google l’a trouvé.

En fait, lorsqu’on parlait d’encodage au début de l’article, c’est la même chose ici, ce n’est pas parce que ça semble illisible ou impossible à trouver/faire, que ça l’est.

Google est d’ailleurs un outil de recherche qui peut être utilisé de façon très technique et professionnelle pour trouver toutes sortes de documents très précisément.

Cela s’appelle le Google Hacking.

6. Le cas de l’antivirus

J’en ai déjà beaucoup parlé et je ne souhaite pas me répéter mais l’un des points les moins compris en sécurité informatique concerne les antivirus.

Il y a deux problèmes de compréhension en un :

Ceux qui font confiance à l’antivirus

Il s’agit des personnes qui misent tous sur leur antivirus, et à vrai dire elles ont raison de le faire car en théorie il n’y a pas d’inquiétude à avoir suite à un message comme celui-ci :

vousetesprotege

Alors oui, l’antivirus vous protège et il le fait très bien. Seulement il a des failles qui ne seront que compensées par des connaissances et de la méfiance.

Je précise que tous les antivirus sont concernés à ce niveau.

Voici plus d’informations :

https://www.leblogduhacker.fr/crypter-un-fichier-pour-contourner-les-anti-virus/

https://www.leblogduhacker.fr/mais-alors-pourquoi-sommes-nous-toujours-pirates/

Ceux qui ne font confiance qu’à eux-même

Il s’agit des personnes qui, confiantes, estiment ne pas avoir besoin d’antivirus car « elles savent ce qu’elles font ».

C’est plutôt bon signe en effet, mais malheureusement il y a toujours des situations qui nous échappent. Typiquement lorsqu’un site qu’on connaît se fait pirater ou lorsqu’un programme pourtant sain en cache un autre. Ce même programme caché que votre antivirus aurait détecté, lui.

Plus d’informations :

https://www.leblogduhacker.fr/un-antivirus-ca-sert-a-rien/

Sachant également que l’être humain est l’une des plus grosses failles, je ne prendrai pas le risque de désactiver un antivirus.

Attention, car en parlant de faille humaine, il faut également veiller à ne pas tomber dans la situation inverse. À savoir : Croire qu’on est piraté alors que ce n’est qu’un piège essayant de nous faire télécharger des programmes suspects.

Plus d’informations :

33 Commentaires. En écrire un nouveau

  • Bonjour,

    j’ai fait fonction de « responsable informatique » pendant quelques années dans un lycée (je suis enseignant en retraite). Ce que j’y ai vu -et qui doit bien exister ailleurs, y compris dans les cyber-cafés- m’a rempli d’effroi… Certains de mes collègues ouvraient leur webmail et cochaient « se souvenir de moi » complètement inconscients que n’importe qui pouvait accéder à leur compte. Sans parler de ceux qui quittaient la salle informatique en oubliant de se déconnecter (Très fréquent!). J’avais paramétré Google Chrome pour qu’on ne puisse le lancer qu’en mode « incognito » mais quelques jours plus tard quelqu’un avait annulé mes modifications. Motif: « C’est pas pratique! »
    Plusieurs de mes collègues se sont fait volés leur mot de passe Gmail et ont été parfois ensuite victimes d’usurpation d’identité. Je ne sais pas si c’était au lycée qu’ils s’étaient fait « piquer » leur mot de passe, mais c’est très possible…
    Par ailleurs, dans le domaine du piratage des comptes bancaires, mon banquier m’a assuré un jour que la plupart du temps ce sont nos proches qui nous piratent et même bien souvent, hélas, nos propres enfants. C’est horrible, mais c’est la vérité…

    Répondre
    • Bonjour et merci pour ces informations. C’est très réaliste et le reflet de ce qui se passe actuellement, même en école d’informatique on observe parfois des pratiques peu soucieuses de la part des enseignants comme des étudiants. Pareil pour les piratages, une très grosse partie est effectivement initiée à partir d’une personne de l’entourage de la victime. Il n’y a qu’à observer les demandes de piratage, elles concernent à 90% le couple ou les « meilleurs amis ».

      Répondre
  • très intéressant merci Michel

    Répondre
  • La première des erreurs est de croire qu’on ne peut-être pirater à son insu.Certains possèdent même deux ordinateur.Un avec lequel ils vont sur internet.un autre ou ils ne vont jamais sur internet.Vous avez antivirus et antivirus.Moi je préfère les antivirus sans backdoor comme abpremiumpc.D’autres pensent que le cryptage est le remède à tout.Ils cryptent sans avoir de clé de cryptage privé.Avec abcryptfile vous avez votre propre clé de cryptage et bien d’autres choses…

    Répondre
  • Très bon article Michel, merci. Et très intéressant comme toujours.

    Répondre
  • moi j’ai un cadenas avec un triangle jaune ! y’-a un problème non ?

    Répondre
  • Bonjour,
    Pour déjouer un keylogger en entrant un nouveau mot de passe, pensez-vous que ce soit pertinent de procéder par copier-coller de lettres prises ici et là à l’écran, afin de constituer une nouvelle chaîne de caractères ?

    Répondre
  • Tiens, « Voici un site (qui n’existe pas mais qui pourrait exister) » il y a pas longtemps au début de l’article j’était venu, le site n’existe pas je réasseye est la pouf, quelqu’un a réserver le nom de domaine est a mis son phishing

    Michel : il ne faut jamais donner un lien qui n’existe pas, quelqu’un pourrait l’inventer la c’est de la pub pour le site, bref c’était juste pour dire comme sa

    Répondre
  • Très bon article comme toujours!

    Répondre
  • Bonjour, votre site est en HTTP, pas en HTTPS !?!?

    Répondre
    • Bonjour, oui en effet, il n’y a pas d’informations très sensibles à protéger entre un commentaire et un pseudo qui seront rendus publics ! La page d’administration par exemple est elle en https. Cela dit, si ça vous préoccupe tant je peux vous fournir la version https du site.

      Répondre
  • ,) C’est pas difficile à savoir, suffit de regarder dans la barre de navigation…

    Répondre
  • Bonjour, je me demandais si pour entrer un nouveau mot de passe avec un keylogger, utiliser le « clavier visuel » de windows permettrais de le detourner.

    Répondre
  • […] Dans l’article d’aujourd’hui, nous allons voir 6 points qui sont souvent mal compris par les internautes et comment ne plus faire ces erreurs.  […]

    Répondre
  • Bonjour Michel j’aimerai savoir comment accéder au code d’un site web
    car pour trouver des faille il faut forcément avoir accès au code car il y’a des black hat qui pirates des sites web et se font des centaines de miller d’euros (comment ils font ? ) est ce qu’il trouve des faille en allant sur leur code ?

    Répondre
    • Clique droit sur la page et afficher les sources. Il affichera seulement le HTML et javascript et non le code côté serveur (asp.net, PHP..)

      Répondre
  • Moi j’ai acheté tous les guides, et Je sais qu’il y a deux programmes (Anti-Keyloggers) auquel Michel fais référence, mais je ne me souviens plus du nom de ces deux logiciels…
    Pensez-vous Michel que vous pourriez me les citer stp?

    Répondre
  • Très bon article Michel, merci. Et très intéressant comme toujours. C’est tellement vrai et à l’image de ce qui se passe aujourd’hui, même dans une école d’informatique on observe parfois des pratiques peu concernées ou pratiquées de la part des enseignants comme des élèves.

    Répondre

Laisser un commentaire

Menu
More in Hacking Éthique, Sécurité Informatique
10 Questions Récurrentes en Hacking enfin Résolues

1. De quelles qualités ai-je besoin pour être un hacker ? Il n'y a pas de sauce secrète ni de passages secrets pour apprendre le...

Close