TOP 6 des erreurs en cybersécurité que vous ne devez plus faire
Dans l’article d’aujourd’hui, nous allons voir 6 erreurs en cybersécurité qui sont souvent faites par les internautes.
1. HTTPS, sécurisé ou pas ?
HTTPS c’est le protocole HTTP couplé avec une couche de chiffrement comme TLS.
De façon plus imagée, il s’agit de chiffrer les informations transmises sur le réseau.
Avec HTTP vous voyez passer « en clair » les données :
Avec HTTPs vous voyez passer les données chiffrées (et vous ne pouvez rien faire avec sans posséder la clé de déchiffrement) :
Seulement, et c’est là qu’est la confusion : La sécurité doit être assurée sur plusieurs niveaux !
Ici on sécurise le niveau réseau mais on ne parle pas du niveau « humain » ni du niveau « système ».
Concernant le niveau humain, il s’agit notamment du fameux Phishing. Et il est dangereux de dire :
« Si tu vois le petit cadenas c’est que c’est bon tu peux acheter !«
Car la page de Phishing peut très bien être en HTTPS elle aussi ! N’importe qui peut acheter des certificats SSL voire en obtenir gratuitement.
Voici un site (qui n’existe pas mais qui pourrait exister) où l’on distingue bien le petit cadenas et le httpS :
Voici maintenant le site officiel de Paypal :
Il y a plusieurs types de certificats, c’est pour cela qu’on aperçoit sur la gauche en vert « PayPal, Inc. (US) ». Mais tous les sites en https n’ont pas ce type de certificat, ce qui rendrait les deux exemples identiques hormis le nom de domaine.
Le nom de domaine (en noir sur les images ci-dessus) est bien l’élément qu’il faut regarder ici en plus du « petit cadenas » : poypol n’est pas paypal. paypol non plus, ni même poypal. Vous me suivez ? 😉
Le deuxième niveau dont on parlait était le niveau « système ».
Imaginons l’exemple suivant : Nous sommes bien en HTTPS (et sur le site officiel !) mais une personne observe notre mot de passe tapé sur le clavier par dessus nos épaules.
HTTPS ou non, le mot de passe est récupéré.
Les keyloggers fonctionnent de la même manière, ils récupèrent ce que vous tapez sur votre clavier peu importe si vous êtes en HTTPS ou non, peu importe le site, peu importe les programmes ouverts. Vos informations passent du clavier au système (sur lequel le keylogger s’exécute), puis du système au site web, puis du site web au réseau (via HTTPS mais c’est déjà trop tard, le pirate est parti avec votre mot de passe).
2. Encodage ou Chiffrement ?
Il ne faut pas confondre encodage et chiffrement lorsque l’on veut partager des informations de manière sécurisée.
But de l’encodage :
Transmettre des informations dans un format compréhensible par tous (standardisé). Il s’agit par exemple de la fameuse table ASCII dont la lettre « A » vaut 65 en décimal.
Base 64 est un codage populaire qui est notamment utilisé pour transformer des informations binaires en caractères. En effet, si l’on transfert des « 0 » et des « 1 », il y a plusieurs façons de les interpréter du coup on a créer un codage facile à transférer (notamment via les URLs) et à décoder.
Vous avez sûrement déjà vu des URLs qui contiennent des caractères comme cela :
aHR0cDovL3d3dy5sZWJsb2dkdWhhY2tlci5mci8=
Bien que cela semble totalement incompréhensible, il suffit de le décoder pour trouver le texte initial.
But du chiffrement :
Faire transiter des données que seuls un émetteur et un destinataire peuvent voir.
Cette fois, si je vous donne le texte suivant (qui ressemble pourtant à celui en base 64) :
OrhDWPZlVC3D35cBLjgBVDgz1HwyJTwzY5IzYb
Pouvez-vous le déchiffrer ? Pouvez-vous le déchiffrer en sachant qu’il est chiffré via l’algorithme de chiffrement RC4 ?
Dans les deux cas la réponse est non (même avec bruteforce ce sera difficile si la clé de chiffrement est assez grande).
Ce n’est qu’une fois que vous connaissez la clé de chiffrement (ici : « clé ») que vous pouvez le déchiffrer.
Si l’on souhaite encore monter d’un niveau, on peut passer par les hashs. Il s’agit d’une empreinte d’un texte, fichier, vidéo, programme…etc qu’il n’est pas possible de retrouver un inversant le processus de chiffrement.
Typiquement, il n’existe aucun algorithme pour recalculer le texte initial du hash suivant :
a3fc36b1afe9bad4dc83547e72d763d7
Et à vrai dire même moi je ne me souviens plus ! Si quelqu’un y arrive, je suis preneur !
Le seul moyen de trouver le texte initial est de recalculer le hash d’un texte clair et le comparer à celui-ci. Si c’est le même, on a retrouvé le texte initial. C’est exactement ce qu’il se passe avec vos mots de passe Facebook, Google…etc : Une empreinte est stockée et même si les administrateurs regardaient dans la base de données, ils ne verraient pas votre mot de passe et ne sauraient le retrouver.
Plus d’informations :
https://www.leblogduhacker.fr/comment-fonctionne-le-chiffrement/
3. Changer son mot de passe en cas de piratage ou de doute
Ce conseil semble très adapté mais il lui manque une grosse partie.
Prenons le cas typique, celui que les visiteurs du site rencontrent souvent, à savoir : Le compte piraté ou la tentative de piratage qu’ils viennent de subir.
Le fait de changer son mot de passe est une bonne idée qu’à partir du moment où l’on est sûr qu’il ne soit pas aussitôt récupéré !
Pour reparler des keyloggers, si vous en avez un sur votre ordinateur, vous pourrez changer votre mot de passe 45610 fois, il sera aussitôt récupéré par le pirate.
Le conseil doit donc être complété :
Il faut changer son mot de passe en cas de piratage ou de doute en étant sûr d’avoir un ordinateur sain lors du changement.
Exemple : Changer le mot de passe depuis un autre ordinateur/smartphone que celui qui a subi le piratage ou la tentative de piratage.
Le même problème se pose avec les cookies. Si l’on supprime les cookies dans le but « d’effacer ses traces », on devra entrer à nouveau les mots de passe enregistrés précédemment dans le navigateur.
C’est le paradis pour les keyloggers car ils n’arrivent pas à récupérer les mots de passe déjà pré-enregistrés dans les navigateurs. Certains d’entre-eux effacent justement exprès les cookies pour forcer la récupération des mots de passe.
Je ne suis pas en train de dire qu’il faut retenir tous les mots de passe, chaque principe à ses avantages et ses inconvénients.
4. Supprimer un fichier de la Corbeille
On parle ici plutôt d’anonymat avec le fait de vouloir faire disparaître tel ou tel fichier.
Lorsque vous supprimez un fichier de la Corbeille, donc lorsque Windows vous dit que le fichier sera supprimé « de façon permanente », il est en fait encore présent sur votre disque dur. Son espace mémoire a simplement été libéré, autrement dit d’autres fichiers pourront être écrits par dessus dans le futur afin de le supprimer vraiment par écrasement.
Si vous venez donc de supprimer un fichier de la Corbeille vous pouvez tenter de le retrouver en analysant la mémoire à la recherche de fichier encore non écrasés.
C’est le boulot de Recuva, j’ai fait un guide pour vous montrer comment le télécharger et l’utiliser.
Si vous souhaitez à présent supprimer un fichier pour de bon, vous pouvez utiliser des programmes spécialisés et il en existe beaucoup.
Avast lui même propose cela (dans la version payante je crois). Eraser est un programme gratuit faisant le même travail.
Vous pouvez le télécharger ici :
http://www.commentcamarche.net/download/telecharger-34055225-eraser
5. « Personne ne le trouvera »
La sécurité par l’obscurité est un concept selon lequel ce qui est caché, et donc difficile à trouver, est sécurisé.
Cela est souvent faux, car une personne déterminée trouve habituellement ce qu’elle cherche.
L’exemple le plus parlant et celui concernant un fichier placé sur un site web : Aucun lien ne pointe vers lui, il n’a jamais été publié où que ce soit et personne n’a été mis au courant.
Pourtant tout le monde peut le trouver !
Et la raison est la suivante : Google l’a trouvé.
En fait, lorsqu’on parlait d’encodage au début de l’article, c’est la même chose ici, ce n’est pas parce que ça semble illisible ou impossible à trouver/faire, que ça l’est.
Google est d’ailleurs un outil de recherche qui peut être utilisé de façon très technique et professionnelle pour trouver toutes sortes de documents très précisément.
Cela s’appelle le Google Hacking.
Autre exemple entièrement lié : Comment pister un Hacker
6. Le cas de l’antivirus
J’en ai déjà beaucoup parlé et je ne souhaite pas me répéter mais l’un des points les moins compris en sécurité informatique concerne les antivirus.
Il y a deux problèmes de compréhension en un :
Ceux qui font confiance à l’antivirus
Il s’agit des personnes qui misent tous sur leur antivirus, et à vrai dire elles ont raison de le faire car en théorie il n’y a pas d’inquiétude à avoir suite à un message comme celui-ci :
Alors oui, l’antivirus vous protège et il le fait très bien. Seulement il a des failles qui ne seront que compensées par des connaissances et de la méfiance.
Je précise que tous les antivirus sont concernés à ce niveau.
Voici plus d’informations :
https://www.leblogduhacker.fr/crypter-un-fichier-pour-contourner-les-anti-virus/
https://www.leblogduhacker.fr/mais-alors-pourquoi-sommes-nous-toujours-pirates/
Ceux qui ne font confiance qu’à eux-même
Il s’agit des personnes qui, confiantes, estiment ne pas avoir besoin d’antivirus car « elles savent ce qu’elles font ».
C’est plutôt bon signe en effet, mais malheureusement il y a toujours des situations qui nous échappent. Typiquement lorsqu’un site qu’on connaît se fait pirater ou lorsqu’un programme pourtant sain en cache un autre. Ce même programme caché que votre antivirus aurait détecté, lui.
Plus d’informations :
https://www.leblogduhacker.fr/un-antivirus-ca-sert-a-rien/
Sachant également que l’être humain est l’une des plus grosses failles, je ne prendrai pas le risque de désactiver un antivirus.
Attention, car en parlant de faille humaine, il faut également veiller à ne pas tomber dans la situation inverse. À savoir : Croire qu’on est piraté alors que ce n’est qu’un piège essayant de nous faire télécharger des programmes suspects.
Plus d’informations :
- https://www.leblogduhacker.fr/attention-votre-ordinateur-est-infecte/
- Les étapes à suivre pour commencer avec le Hacking
34 Commentaires
Cliquez ici pour ajouter un commentaire
Bonjour,
j’ai fait fonction de « responsable informatique » pendant quelques années dans un lycée (je suis enseignant en retraite). Ce que j’y ai vu -et qui doit bien exister ailleurs, y compris dans les cyber-cafés- m’a rempli d’effroi… Certains de mes collègues ouvraient leur webmail et cochaient « se souvenir de moi » complètement inconscients que n’importe qui pouvait accéder à leur compte. Sans parler de ceux qui quittaient la salle informatique en oubliant de se déconnecter (Très fréquent!). J’avais paramétré Google Chrome pour qu’on ne puisse le lancer qu’en mode « incognito » mais quelques jours plus tard quelqu’un avait annulé mes modifications. Motif: « C’est pas pratique! »
Plusieurs de mes collègues se sont fait volés leur mot de passe Gmail et ont été parfois ensuite victimes d’usurpation d’identité. Je ne sais pas si c’était au lycée qu’ils s’étaient fait « piquer » leur mot de passe, mais c’est très possible…
Par ailleurs, dans le domaine du piratage des comptes bancaires, mon banquier m’a assuré un jour que la plupart du temps ce sont nos proches qui nous piratent et même bien souvent, hélas, nos propres enfants. C’est horrible, mais c’est la vérité…
Bonjour et merci pour ces informations. C’est très réaliste et le reflet de ce qui se passe actuellement, même en école d’informatique on observe parfois des pratiques peu soucieuses de la part des enseignants comme des étudiants. Pareil pour les piratages, une très grosse partie est effectivement initiée à partir d’une personne de l’entourage de la victime. Il n’y a qu’à observer les demandes de piratage, elles concernent à 90% le couple ou les « meilleurs amis ».
bonjour ,je suis en tant normal inscrite j’ais était piraté sur Google peux plus y allé sur Facebook idem nathy ….. merci de me répondre car cela est minable cordialement ….
Si vous parliez français normalement, on pourrait peut-ẽtre vous répondre normalement…
très intéressant merci Michel
Le plaisir est pour moi gaispi 😉
La première des erreurs est de croire qu’on ne peut-être pirater à son insu.Certains possèdent même deux ordinateur.Un avec lequel ils vont sur internet.un autre ou ils ne vont jamais sur internet.Vous avez antivirus et antivirus.Moi je préfère les antivirus sans backdoor comme abpremiumpc.D’autres pensent que le cryptage est le remède à tout.Ils cryptent sans avoir de clé de cryptage privé.Avec abcryptfile vous avez votre propre clé de cryptage et bien d’autres choses…
Ah je ne connais pas abcryptfile. Il y a antivirus et être humain je dirais, et les deux sont complémentaires
Très bon article Michel, merci. Et très intéressant comme toujours.
Avec plaisir comme toujours Schwarzer
moi j’ai un cadenas avec un triangle jaune ! y’-a un problème non ?
Cela indique souvent que tous les éléments sur la page ne passent pas par https. Rien de grave en théorie
Merci de m’avoir répondre
Bonjour,
Pour déjouer un keylogger en entrant un nouveau mot de passe, pensez-vous que ce soit pertinent de procéder par copier-coller de lettres prises ici et là à l’écran, afin de constituer une nouvelle chaîne de caractères ?
Bonjour, non car il est (très) facile pour les keyloggers de récupérer le contenu du presse-papier et même en direct !
Tiens, « Voici un site (qui n’existe pas mais qui pourrait exister) » il y a pas longtemps au début de l’article j’était venu, le site n’existe pas je réasseye est la pouf, quelqu’un a réserver le nom de domaine est a mis son phishing
Michel : il ne faut jamais donner un lien qui n’existe pas, quelqu’un pourrait l’inventer la c’est de la pub pour le site, bref c’était juste pour dire comme sa
Salut et merci pour ton commentaire, de la pub peut-être mais de la mauvaise pub du coup !
ok 😀 derien
Très bon article comme toujours!
Bonjour, votre site est en HTTP, pas en HTTPS !?!?
Bonjour, oui en effet, il n’y a pas d’informations très sensibles à protéger entre un commentaire et un pseudo qui seront rendus publics ! La page d’administration par exemple est elle en https. Cela dit, si ça vous préoccupe tant je peux vous fournir la version https du site.
,) C’est pas difficile à savoir, suffit de regarder dans la barre de navigation…
Bonjour, je me demandais si pour entrer un nouveau mot de passe avec un keylogger, utiliser le « clavier visuel » de windows permettrais de le detourner.
Bonjour, oui c’est une mesure de sécurité intéressante quoi que peu pratique. Mais il n’est pas exclu qu’un keylogger récupère le texte tapé via le clavier virtuel
d’accord, merci de votre réponse !
[…] Dans l’article d’aujourd’hui, nous allons voir 6 points qui sont souvent mal compris par les internautes et comment ne plus faire ces erreurs. […]
Bonjour Michel j’aimerai savoir comment accéder au code d’un site web
car pour trouver des faille il faut forcément avoir accès au code car il y’a des black hat qui pirates des sites web et se font des centaines de miller d’euros (comment ils font ? ) est ce qu’il trouve des faille en allant sur leur code ?
Clique droit sur la page et afficher les sources. Il affichera seulement le HTML et javascript et non le code côté serveur (asp.net, PHP..)
Merci mais on fait comment pour injecter du code alors si on peut pas accéder au code coté serveur ?
Moi j’ai acheté tous les guides, et Je sais qu’il y a deux programmes (Anti-Keyloggers) auquel Michel fais référence, mais je ne me souviens plus du nom de ces deux logiciels…
Pensez-vous Michel que vous pourriez me les citer stp?
Bonjour François, sans doute Spyshelter et/ou Keyscrambler 🙂 À bientôt
merci!
Très bon article Michel, merci. Et très intéressant comme toujours. C’est tellement vrai et à l’image de ce qui se passe aujourd’hui, même dans une école d’informatique on observe parfois des pratiques peu concernées ou pratiquées de la part des enseignants comme des élèves.
salut michel pour la réponse que tu donne pour la personne qui était responsable informatique dans un lycée.
cela et très bien analyser est très juste. encore trop d’erreurs sont commises. ici je donne un exemple sur les entreprise.
qui je le souhaite peut être très utile aussi bien pour le simple particulier. que pour les gens qui travail au sein de ces
entreprise.
les erreurs les plus courantes commises par les entreprises. les attaques se multiplient et de nouvelles techniques
de piratage font constamment leur apparition parmi lesquelles l’ingénierie sociale. où même les utilisateurs
expérimentés peuvent ne pas repérer le malware caché dans un message qui semble pourtant authentique.
outre le nombre croissant de menaces la pandémie de covid-19 qui a bouleversé la vie des entreprises
présente désormais une autre source de danger sur le plan de la cybersécurité. avec de nombreux collaborateurs
en télétravail. les cybercriminels disposent davantage de points d’accès potentiels au réseau de l’entreprise.
les priorités évoluent. le besoin de communiquer avec les clients et les équipes en ligne est en général considéré
comme plus urgent que la sécurité. ? cependant les dommages d’une attaque réussie se comptent en millions de dollars.
et la réputation de l’entreprise peut être sérieusement entachée. très coûteuses pour les entreprises.
il est nécessaire de tirer des leçon des erreurs commises lors d’attaques et de surtout ne pas les refaire.
a quoi faut-il faire attention et que faut il éviter ?
ne pas être concerné.
la première et la plus grande erreur est de penser que cela ne peut pas nous arriver. il ne faut pas partir du principe
que ses services n’ont rien qui puisse intéresser les attaquants. bien qu’il existe des cibles évidentes de grande valeur.
personne n’est à l’abri ou inaccessible pour les cybercriminels. toute entreprise a une valeur. de plus dans le monde
cybernétique de nombreuses attaques sont automatisées. de sorte qu’elles ne sont pas nécessairement dirigées
contre une entreprise en particulier. d’ailleurs près de la moitié des cyberattaques visent les petites entreprises.
la protection peut attendre.
le contexte actuel a laissé place à de nouveaux défis et de nouvelles tâches presque du jour au lendemain.
la plupart des entreprises n’ont pas immédiatement privilégié la sécurité lors de la transition vers un environnement
de télétravail. les entreprises ont rapidement dit à leurs collaborateurs de commencer à travailler depuis leur domicile
et ont mis à disposition des ressources à distance. cependant aborder la sécurité après l’événement ouvre
d’innombrables fenêtres d’attaque. et augmente les risques de mauvaise mise en oeuvre.
les équipes informatiques s’en chargeront. la sécurité informatique n’est pas seulement du ressort de l’équipe informatique.
la collaboration au sein de l’entreprise est essentielle. la sécurité doit être prise en compte dans les budgets et les plans
d’entreprise. la sécurité est une priorité et doit être abordée au niveau de la direction.
il est important d’assurer la formation et la sensibilisation. car chaque salarié est appelé à protéger son entreprise.
il est inutile d’acheter un système d’alarme coûteux et d’oublier ensuite de fermer la porte du bureau la nuit.
il en va de même lorsque les utilisateurs donnent leurs identifiants de connexion à des cybercriminels via des e-mail
de phishing et laissent la porte ouverte à ces derniers pour pénétrer dans le réseau de l’entreprise.
avoir adopté une solution de sécurité dans le passé. c’est suffisant.?
les cybermenaces se développent à un rythme effréné. les attaquants ont recours à l’intelligence artificielle
et les menaces sont accessibles aux amateurs sur le darknet.
le recours à une technologie obsolète peut engendrer une forte sanction. il est impossible de lutter contre ces menaces
émergentes simplement en attendant qu’elles se produise et en espérant les bloquer aux portes de l’entreprise.
la détection seule ne suffit pas la clé de la protection aujourd’hui est la prévention et les solutions qui extraient les
menaces et éliminent les attaques avant qu’elles ne fassent des dégâts. être attentifs même les week-ends.
les hackers ne dorment jamais. il est important de renforcer la sécurité pendant les week-ends et les jours fériés.
car une attaque pendant le week-end n’attendra pas le lundi. dernièrement les pirates ont précisément choisi le week-end
pour attaquer parce que le personnel informatique est souvent indisponible. et que les entreprises sont plus vulnérables.
c’était le cas de l’attaque massive de ransomware qui a touché plus de 200 entreprises dont la sécurité a été compromise
par les système de kaseya. improviser n’est pas une solution. lors d’une attaque réussie. pas le temps de paniquer
ou de réfléchir trop longtemps. la moindre seconde peut faire la différence. et pour l’entreprise cela se chiffre en centaines
de milliers ou en millions de dollars de dommages. il faut absolument disposer d’un plan de réponse aux incidents
clairement défini de procédures de responsabilités et de contacts précis.
l’attaque stoppée ce n’est pas fini. en cas d’attaque il faut non seulement l’arrêter mais également mener une enquête
approfondie sur les raisons de l’incident. il faut chercher à savoir où se trouvent les failles quelle est la manière d’améliorer
la sécurité pour que la situation ne se reproduise pas. et s’assurer que tous les systèmes sont désormais sûrs
et conformes à leur état initial. le travail de prévention après une attaque est tout aussi important que de la stopper
en amont.
les mises à jour peuvent attendre. ? certains pensent que les mises à jour logiciels n’ajoutent que quelques fonctionnalités
et qu’elles ont une une utilité limitée. cependant elles contiennent d’importants correctifs de vulnérabilité.
il ne faut pas remettre à plus tard l’installation des mises à jour et des correctifs.
de tout et pour tout le monde. avec le recours massif au télétravail les dirigeants d’entreprise éprouvent parfois
le besoin de donner aux collaborateurs l’accès à toutes les ressources. mais l’absence de segmentation ne peut
qu’entraîner la propagation de la menace dans le réseau et aggraver les dégâts en cas d’attaque.
le réseau est sécurisé c’est suffisant. ? la sécurité ne concerne pas seulement les serveurs et le réseau.
elle est également essentielle pour les appareils mobiles les dispositifs personnels et les technologies de plus en plus
intelligentes. les caméras les montres connectées les ampoules intelligentes ou même les équipements hospitaliers
sophistiqués comme un appareil à ultrasons tout ce qui est connecté peut constituer une menace.
il faut donc aborder le problème de manière globale.
la mise en place d’une bonne stratégie de sécurité est une question très sensible. imposer une sécurité trop stricte
des politiques et des règles extrêmement rigoureuses ne fonctionnera pas.
il faut tenir compte des processus commerciaux de la culture et des pratiques de travail. si la sécurité complique
considérablement la vie professionnelle des collaborateurs ceux-ci chercheront comment la contourner et les intentions
initialement bonnes seront complètement réduites à néant. il est donc nécessaire de réunir tous les éléments en un seul
système viable.