Le web est un monde dans notre monde auquel on peut accéder de presque n’importe où par le biais de plusieurs dispositifs connectés. Tout se passe bien, on se promène sur le web et puis un beau jour on reçoit un mail de manuelvallsdu35@kikou.com qui nous dit qu’il a récupéré toutes nos données personnelles et que si on ne lui paye pas une énorme rançon il affichera des photos de nos couilles dans tout Paris. Ça arrive littéralement à tout le monde. Et si ça arrive autant, c’est parce que bon nombre d’entre nous tombe dans des pièges basiques du web en ne se protégeant pas correctement. Alors voyons ensemble quelles sont les choses qui ne sont pas du tout sécurisées sur le web.
La navigation privée
Utiliser la navigation privée de son navigateur internet en pensant qu’on est intraçable revient à peu près à quitter une scène de crime en semant des copies de sa carte d’identité un peu partout. Vous n’êtes ni incognito ni intraçable. Déjà votre fournisseur d’accès à internet peut tout à fait retracer les sites sur lesquels vous êtes allés, mais en plus les sites eux mêmes gardent des traces de votre passage. Un hacker ou les autorités (si vous avez des choses à vous reprocher) pourront aisément récupérer vos données. En gros, à part vouloir cacher à votre famille / partenaire les sites sur lesquels vous allez acheter un cadeau d’anniversaire ce mode de navigation ne sert à rien.
Avoir un mot de passe avec des caractères spéciaux
Il est inutile de mettre des caractères spéciaux si votre mot de passe fait moins de huit caractères. Pour avoir un mot de passe sécurisé, il faut en réalité avoir ce qu’on appelle une « passphrase ». Plus le nombre de caractères est important, plus un hacker mettra du temps à le percer en réalisant une attaque « brute force » : fait de tester via un script toutes les combinaisons possibles de mot de passe.
Si vous allez vérifier sur le site « how secure is my password » la fiabilité de votre mot de passe vous pouvez voir en combien de temps on pourrait le cracker. Par exemple le mot de passe « K!kOu65 » ne prendrait que 6 minutes alors que le mot de passe « jaimevraimentleschips » prendrait 400 milliards d’années. Aucune majuscule, aucun caractère spécial, juste une phrase assez longue et le tour est joué.
Se connecter à des réseaux wifi publics
Les réseaux wifi publics sont une cible très utilisée par les hackers via différentes attaques. Le « man in the middle » va intercepter les données envoyées entre votre appareil et le routeur, le « Evil Twin » va se faire passer pour point d’accès wifi en appelant par exemple son réseau « freewifi » et récupérer toutes vos communications ou encore le « sniffing » qui va tout bonnement récupérer vos données comme vos identifiants et mots de passe, votre historique…
Avoir un seul mot de passe / une seule adresse mail pour tout
Ça peut sembler stupide mais beaucoup de gens naviguent avec un seul compte mail ou (pire) un seul mot de passe pour tous leurs comptes. Admettons que votre MDP soit le même pour votre compte Facebook, votre compte d’un magasin en ligne, votre compte mail et d’une dizaine d’autres comptes potentiels sur des sites divers. Imaginez maintenant que l’un de ces sites soit la cible d’un hacker qui récupère les données login/mdp de tous les utilisateurs et qu’il tente avec ce même couple login/mdp de se connecter à d’autres sites : il va y arriver avec le votre. Le site « Have I been pawned » vous permet de voir si votre adresse mail a déjà été vendue sur le dark web, ce qui est un bon moyen de voir si vous êtes passé entre les mailles du filet ou s’il faut changer d’adresse.
Acheter sur un site qui n'est pas en protocole HTTPS
On achète presque tous sur internet, que ce soit occasionnel ou fréquemment, mais l’un des piliers de l’achat sur internet est la vérification du site sur lequel on le fait. Plusieurs facteurs, si vous ne connaissez pas le site : vérifiez s’il a de bons avis, ce genre de choses. Mais au moment du paiement vérifiez surtout dans l’url que celui-ci est en « HTTPS » et non en « HTTP ».
Pour faire simple, le « S » veut dire SECURE (enfin à la base ça vient de « SSL » mais on s’en fout, partez du principe que c’est SECURE). En gros c’est le même protocole internet HTTP que vous utilisez (de moins en moins souvent puisque tout passe en HTTPS) mais la couche TLS (transport layer security) vient chiffrer toutes les données échangées entre votre machine et le serveur en les rendant secrètes. Vos données bancaires et ce genre d’infos sont alors beaucoup moins facilement récupérables, ce qui n’est pas le cas en HTTP où tout est « en clair ».
Ne pas faire les mises à jour de vos ordinateurs / téléphones
Les mises à jour sont généralement faites pour des raisons évidentes, afin d’améliorer les capacités de vos machines, corriger de petits problèmes et éliminer les failles. Il faut mettre à jour, tout le temps, dès que vous le pouvez (votre antivirus également si vous en utilisez un). Si après une mise à jour de votre téléphone vous en recevez une autre très rapidement (quelques jours) elle risque d’être encore plus importante puisqu’elle peut corriger ce qu’on appelle une « vulnérabilité zéro-day », à savoir une faille qui n’avait pas été découverte au lancement d’un produit ou à l’ajout d’une de ses mises à jour et qui peut être rapidement exploitée par des hackers. Bref, ne faites pas les timides sur le bouton « mettre à jour ».
Cliquer sur un lien envoyé par mail dont vous ne connaissez pas l'expéditeur (ou qui semble suspect)
Vous riez en vous disant que personne ne clique sur les liens étranges envoyés par mail ? Ou qu’au pire vous allez juste tomber sur un vieux site de cul et qu’il suffira de fermer la page et que c’est pas grave ? Eh bien détrompez vous. Les attaques de « phishing » : envoi de mails frauduleux massif, ou de « spear phishing » : envoi de mail frauduleux mais uniquement à vous (ciblés) avec des informations personnelles déjà récoltées sont très très répandues. Et pourquoi selon vous ? Parce que les gens cliquent. Si vous recevez un mail (boîte personnelle ou boîte pro) d’une personne que vous ne connaissez manifestement pas, ne cliquez pas.
Un bon moyen de vérifier une adresse est de passer le pointeur de votre souris au dessus, le vrai lien va s’afficher. Par exemple disons que le lien du mail est une soit disant offre de « www.netflix.com/offreDeMalade » et que lorsque vous passez la souris dessus il y a marqué « jeVaisTePrendreToutesTesThunes.com/pigeon » vous ne cliquez pas. Cela pourrait entre autre vous faire télécharger un virus ou vous emmener sur un site frauduleux (voire même une parfaite copie du site en question, genre un faux Netflix).
Croire que la seule menace dans le téléchargement c'est HADOPI
Ok, alors mettons vraiment quelque chose au clair : quand vous téléchargez illégalement un film, une série, un album ou quoi que ce soit, HADOPI n’est clairement pas votre pire ennemi. En fait, c’est potentiellement la personne qui aura uploadé le produit que vous allez télécharger qui en est une. La fameuse attaque cheval de troie, les fichiers « exe » sur lequel vous allez cliquer, les paquets cachés, virus variés… Bref, en gros faites gaffe à ce que vous téléchargez, si ce n’est pas légal et que quelqu’un prend des risques pour que vous puissiez y avoir accès gratuitement, il est possible qu’il y ait une raison moins sympa que vous ne le pensez derrière cet acte.
La double authentification par SMS
Ok, la double authentification c’est bien, même très bien comme procédé, ça permet de vérifier par un outil / plate-forme tiers que c’est bien vous qui êtes à l’origine d’une action (bancaire par exemple). Cependant, le SIM swapping est toujours possible, il vaut mieux valider la double authentification avec une application (type Google Authenticator) qu’avec votre numéro de téléphone, c’est ENCORE plus sécurisé.
Ne pas se renseigner sur les différentes attaques possible
Quand vous partez en voyage, vous vous renseignez sur les endroits que vous allez visiter, si les touristes ne sont pas souvent victimes de vols ou de ce genre de chose. Sur internet c’est pareil. Si vous y allez en « touriste », sachez que des gens y sont des « locaux » et qu’ils connaissent les bons moyens de vous pigeonner. L’idée n’est pas de connaître TOUTES les attaques possibles, mais au moins les principales (déni de service, man in the middle, XSS, failles SQL…). Je sais que c’est du charabia comme ça, mais en connaissant sommairement les risques, vous pourrez au moins savoir comment les éviter au maximum.
Bon, on a dégrossi quelques trucs, l’idée est de rester vigilant sans bien évidemment tomber dans la parano. Vous pouvez aller voir les raisons d’utiliser un VPN, y’a plein de trucs à savoir là dedans.